Nijmegen test gebruik privacyvriendelijk identiteitsplatform IRMA
De gemeente Nijmegen is begonnen met het testen van het privacyvriendelijk identiteitsplatform IRMA. IRMA staat voor 'I Reveal My Attributes' en is een soort van gepersonaliseerd paspoort dat op de telefoon van de gebruiker wordt opgeslagen. Gebruikers kunnen allerlei persoonlijke attributen aan de IRMA-app toevoegen zoals adresgegevens, leeftijd of onderwijsidentiteit.
Vervolgens is het mogelijk om met de IRMA-app op allerlei websites en apps in te loggen, zonder dat de gebruiker hiervoor een apart gebruikersprofiel hoeft aan te maken. Verder zorgt IRMA ervoor dat websites alleen de echt noodzakelijke gegevens van de gebruiker krijgen. Met de app kan iemand bijvoorbeeld laten zien dat hij ouder is dan 18 jaar zonder dat de geboortedatum en andere persoonsinformatie zichtbaar zijn.
De gemeente Nijmegen geeft een groep inwoners nu de mogelijkheid om hun gegevens uit de basisregistratie personen te halen en die binnen IRMA te gebruiken. In deze eerste fase van het onderzoek naar het gebruik van IRMA kunnen 7500 unieke personen per maand gebruik maken van deze service. "Met IRMA kunnen inwoners op een veilige en privacyvriendelijke manier een deel van hun identiteit online vrijgeven en een digitale handtekening zetten", zo laat de gemeente weten.
IRMA is ontwikkeld door de in Nijmegen opgerichte stichting Privacy by Design van hoogleraar Bart Jacobs. De Stichting is een non-profit spin-off van de onderzoeksgroep Digital Security van de Radboud Universiteit en het Privacy and Identity Lab. Deze partijen doen al sinds 2009 onderzoek naar 'attribuut gebaseerde digitale identiteit', wat leidde tot de ontwikkeling van IRMA. De app is gratis voor zowel Android als iOS.
Reacties (18)
Mooi idee die niet werkt in de huidige wereld waar in alles maar een app moet hebben. Telefoons krijgen amper tot geen beveiligings updates, en dat betekend dat er een zeer grote kans (niet iedereen is even smart met zijn phone en rammen op ok tot ze verder kunnen of alles weg is) dat deze vroeger of laat besmet raakt of gehackt. Dus dan ben je bijna verplicht om een nieuwe telefoon te kopen die uiteraard ook amper updates krijgt... cirkel enzo.
Android One telefoons krijgen 3 jaar security updates. Is het niet mogelijk om deze / zo'n app te laten controleren of het een Android One apparaat is?
26-09-2018, 17:36 door
karma4
Grootste hiaat is dat het een App op een device is.
Het controleert niet of de persoon achter het apparaat wel degene is die ef bij hoort. Faal vanaf de tekentafel.
Het controleert niet of de persoon achter het apparaat wel degene is die ef bij hoort. Faal vanaf de tekentafel.
Door Anoniem: Mooi idee die niet werkt in de huidige wereld waar in alles maar een app moet hebben. Telefoons krijgen amper tot geen beveiligings updates, en dat betekend dat er een zeer grote kans (niet iedereen is even smart met zijn phone en rammen op ok tot ze verder kunnen of alles weg is) dat deze vroeger of laat besmet raakt of gehackt. Dus dan ben je bijna verplicht om een nieuwe telefoon te kopen die uiteraard ook amper updates krijgt... cirkel enzo.
Het oorspronkelijke idee was met een PKI pas, dat schaalde niet. De huidige app versie heeft wel de meeste kans om door te breken. Het concept is erg slim, van verschillende bronnen (banken, overheid, je eigen werk) kan je gevalideerde attributen verzamelen, zoals b.v. NAW en geboortedatum. Die attributen kan je dan gebruiken als je diensten wilt afnemen. Als je b.v. vuil wilt storten bij je gemeente kan je aantonen dat je inwoner van die gemeente bent, zonder je hele adres te tonen. Ook kan je bij het kopen van drank aantonen dat je boven de 18 bent, zonder je geboortedatum te vermelden. Dit is dus een heel mooie privacy vriendelijk oplossing.o, en iPhones krijgen wel beveiligingsupdates, zelfs de modellen van 5 jaar oud ;) Mijn iPhone 6 werkt met de nieuwe accu van 30€ en IOS 12 eigenlijk nog prima. Op die manier kan je het prijsverschil ook anders bekijken.
iPhones krijgen wel beveiligingsupdates, zelfs de modellen van 5 jaar oud
Wees gelukkig mijn iPad,niet, geen updates meer werkt langzamer, het probleem is dat ik geen Android zooi wildus als ik een smartphone moet kopen wordt dat een veel te dure iPhone die volgens mij niet langer
dan vijf jaar meegaan.
En een andere keus is er niet.
Alles met een vrouwennaam is naar mijn mening een ramp. Heb dit binnen defensie helaas al jaren meegemaakt en kijk ook eens naar de diverse orkanen. Nu een dienst met een vrouwennaam. ai karamba.. mij niet gezien :)
Door Anoniem: Android One telefoons krijgen 3 jaar security updates. Is het niet mogelijk om deze / zo'n app te laten controleren of het een Android One apparaat is?
Zeker wel, de app kan deze gegevens gewoon opvragen. De hoeveelheid Android One telefoons in omloop is nog niet groot helaas maar Android is op de goede weg. Helaas doen nog lang niet alle fabrikanten mee met dit programma. Ik heb zelf nu ook Android One, bevalt prima, maandelijks updates en geen crapware.
iPhones lopen op dat punt voor maar de nieuwe iPhones zijn onbetaalbaar geworden en hebben ook nog communicatie problemen door slecht antenne ontwerp. https://www.iphoned.nl/nieuws/iphone-xs-verbinding/ Om nou ruim 1100 euro voor een telefoon met inferieure communicatie hardware te betalen gaat mij wat te ver.
Door karma4: Grootste hiaat is dat het een App op een device is.
Het controleert niet of de persoon achter het apparaat wel degene is die ef bij hoort. Faal vanaf de tekentafel.
Het controleert niet of de persoon achter het apparaat wel degene is die ef bij hoort. Faal vanaf de tekentafel.
Deze keer ben ik het volledig met je eens!
Door karma4: Grootste hiaat is dat het een App op een device is.
Het controleert niet of de persoon achter het apparaat wel degene is die ef bij hoort. Faal vanaf de tekentafel.
Maar de meeste telefoons hebben een wachtwoord of PIN en IRMA heeft altijd een PIN. Het controleert niet of de persoon achter het apparaat wel degene is die ef bij hoort. Faal vanaf de tekentafel.
Vind je pinpassen van de bank ook faal vanaf de tekentafel? Hoe zou het betalingsverkeer in Nederland er uit zien zonder pinpassen?
Door Anoniem:
dus als ik een smartphone moet kopen wordt dat een veel te dure iPhone die volgens mij niet langer
dan vijf jaar meegaan.
En een andere keus is er niet.
De iPad Air uit 2013 krijgt IOS 12 nog wel, dus die 5 jaar is consistent ;) Het komt vlgs mij met name door de overschakeling naar 64bit architectuur dat oudere modellen geen IOS 12 kunnen draaien. Voor mij vriendin heb ik een tijd geleden een iPhone SE gekocht, want zij wilde niet zo'n groot model. Bij een provider met een Nederlandse naam kon ik toen een goedkoop 2-jarig contract afsluiten en dan kan je direct de telefoon afkopen voor 240 euro. iPhone 7 is dan ook goedkoper als direct bij de apple store.iPhones krijgen wel beveiligingsupdates, zelfs de modellen van 5 jaar oud
Wees gelukkig mijn iPad,niet, geen updates meer werkt langzamer, het probleem is dat ik geen Android zooi wildus als ik een smartphone moet kopen wordt dat een veel te dure iPhone die volgens mij niet langer
dan vijf jaar meegaan.
En een andere keus is er niet.
27-09-2018, 19:50 door
karma4
Door Anoniem:
Maar de meeste telefoons hebben een wachtwoord of PIN en IRMA heeft altijd een PIN.
Vind je pinpassen van de bank ook faal vanaf de tekentafel? Hoe zou het betalingsverkeer in Nederland er uit zien zonder pinpassen?
Heel eenvoudig, met pinpassen moet de bank fraude aantonen door de gebruiker voordat ze het aan de gebruiker kunnen wijten.Met id's Irma is de gebruiker/slachtoffer schuldig tenzij hij kan bewijzen dat de verwerker fout zit. Maar de meeste telefoons hebben een wachtwoord of PIN en IRMA heeft altijd een PIN.
Vind je pinpassen van de bank ook faal vanaf de tekentafel? Hoe zou het betalingsverkeer in Nederland er uit zien zonder pinpassen?
Let op die omgekeerde bewijslast.
Met irma kan iemand als puber naar de winkel gaan en sterke drank etc kopen want het mobieltje geeft aan dat hij een 60-er is.Snap je het werkelijke probleem niet?
27-09-2018, 19:51 door
karma4
Door linux4:
Deze keer ben ik het volledig met je eens!
:<)Door karma4: Grootste hiaat is dat het een App op een device is.
Het controleert niet of de persoon achter het apparaat wel degene is die ef bij hoort. Faal vanaf de tekentafel.
Het controleert niet of de persoon achter het apparaat wel degene is die ef bij hoort. Faal vanaf de tekentafel.
Deze keer ben ik het volledig met je eens!
Door karma4: Grootste hiaat is dat het een App op een device is.
Het controleert niet of de persoon achter het apparaat wel degene is die ef bij hoort. Faal vanaf de tekentafel.
Het controleert niet of de persoon achter het apparaat wel degene is die ef bij hoort. Faal vanaf de tekentafel.
Enigszins waar. Laten we wel wezen: het apparaat is natuurlijk beveiligd met een code die alleen de gebruiker kent. En de gebruiker zal het apparaat niet zonder slag of stoot uit handen geven. Verder is het net een creditcard. Die moet je ook blokkeren als je 'm verloren bent of als hij is gestolen. De uiteindelijke vraag is dus of dat IRMA een goede meld-en-blokkeer voorziening heeft.
Update: dat hebben ze. Zie kwoot hieronder.
https://privacybydesign.foundation/irma-begin
Het is verstandig af en toe eens naar deze loggegevens te kijken. Als daar blijkt dat uw IRMA app gebruikt wordt terwijl u daar helemaal niet van weet is er iets aan de hand: iemand anders gebruikt uw app om zich als u voor te doen. Dat is reden om direct in te grijpen. Hiermee komen we aan de tweede mogelijkheid die de MijnIRMA pagina biedt.
U kunt op de MijnIRMA webpagina het gebruik van IRMA stop zetten. Natuurlijk kunt u dat doen als u IRMA niet langer wil gebruiken. Maar daarnaast is het belangrijk om aan deze “noodrem” te trekken als uw telefoon gestolen is, zodat een ander zeker geen misbruik kan maken van uw identiteit.
Als u op MijnIRMA aangeeft te willen stoppen worden al uw gegevens onmiddelijk gewist en kan uw IRMA app niet meer gebruikt worden, ook al staat de app nog op uw telefoon. Mocht u hierna IRMA ooit toch nog willen gaan gebruiken, dan moet u zich opnieuw, van voor af aan registreren.
Het is verstandig af en toe eens naar deze loggegevens te kijken. Als daar blijkt dat uw IRMA app gebruikt wordt terwijl u daar helemaal niet van weet is er iets aan de hand: iemand anders gebruikt uw app om zich als u voor te doen. Dat is reden om direct in te grijpen. Hiermee komen we aan de tweede mogelijkheid die de MijnIRMA pagina biedt.
U kunt op de MijnIRMA webpagina het gebruik van IRMA stop zetten. Natuurlijk kunt u dat doen als u IRMA niet langer wil gebruiken. Maar daarnaast is het belangrijk om aan deze “noodrem” te trekken als uw telefoon gestolen is, zodat een ander zeker geen misbruik kan maken van uw identiteit.
Als u op MijnIRMA aangeeft te willen stoppen worden al uw gegevens onmiddelijk gewist en kan uw IRMA app niet meer gebruikt worden, ook al staat de app nog op uw telefoon. Mocht u hierna IRMA ooit toch nog willen gaan gebruiken, dan moet u zich opnieuw, van voor af aan registreren.
Door The FOSS: Enigszins waar. Laten we wel wezen: het apparaat is natuurlijk beveiligd met een code die alleen de gebruiker kent. En de gebruiker zal het apparaat niet zonder slag of stoot uit handen geven. Verder is het net een creditcard. Die moet je ook blokkeren als je 'm verloren bent of als hij is gestolen. De uiteindelijke vraag is dus of dat IRMA een goede meld-en-blokkeer voorziening heeft. ..
Je hebt hem nog niet. Het is niet de eigenaar van de smartphone die moet bewijzen wie hij is. Het is de verwerker gebruiker die overtuigd moet zijn dat de persoon voor hem en het unieke administratieve nummer bij elkaar horen.
http://wetten.overheid.nl/BWBR0022428/2018-07-28 Artikel 12
Indien bij het verwerken van persoonsgegevens een burgerservicenummer wordt gebruikt, vergewist de gebruiker zich ervan dat het burgerservicenummer betrekking heeft op de persoon wiens persoonsgegevens hij verwerkt.
Als je die functionele eis niet als startpunt neemt is het faal vanaf de tekentafel.
Deze functionele eis kun je enkel oplossen door iets unieks en authenticerend in het bezit van de verwerker/gebruiker te vergelijken met die persoon. Neen het nomen van een nummer is niet authenticerend het is enkel de bewering dat je die persoon zou kunnen zijn. De woorden in spraakgebruik (identificatiezuil) zijn nogal verwarrend.
Waarom is dit een ernstige misvatting? Wat er gebeurt is dat de bewijslast en schade wanneer er iets niet goed gaat verlegd wordt van de verwerker/gebruiker naar een derde persoon.
ik noemde niet voor niets dat banken het kaartgebruik het aantonen van misbruik door de klant bij de bank ligt (EU) in de VS is het inderdaad andersom daar mag de consument het zelf uitzoeken, via een rechtszaak.
Misschien helpt een praktisch fysiek voorbeeld.
Stel er wordt een smartphone app gemaakt die aantoont wanneer je al of niet te hard rijd. Heel handig voor de politie CJI om daaraan automatisch de incasso bijdrage te koppelen. Zie maar te bewijzen dat ja al of niet te hard reed. Zo'n smartphone app is een faal vanaf de tekentafel wegens het missen van de echte basis.
De praktijk van aparte gecalibreerde ANPR camera's legt de bewijslast bij de handhavers (daar hoort het).
@karma4 JIJ 'hebt 'm nog niet'... Het gaat hier helemaal niet over rechttoe-rechtaan 'authenticatie met een bsn'. Verdiep je eerst eens in het mechanisme van IRMA's attribuut-uitgifte voordat je je stokpaardje veronderstelt en maar wat roept.
Door karma4:
Met irma kan iemand als puber naar de winkel gaan en sterke drank etc kopen want het mobieltje geeft aan dat hij een 60-er is.Snap je het werkelijke probleem niet?
Met irma kan iemand als puber naar de winkel gaan en sterke drank etc kopen want het mobieltje geeft aan dat hij een 60-er is.Snap je het werkelijke probleem niet?
Hahahahaha! Want dat gaan we ook vrijgeven via IRMA. Handiger dan een werkelijke check. En als een puber de leeftijd '60' meekrijgt dan gaat eenmedewerker niet opkijken. Als de technologie het zegt, dan...
Doet een beetje denken aan mensen die tegen een muur oprijden omdat ze de instructies van hun garmin 'hier rechtsaf slaan' wat te letterlijk namen. Grinnik, het wel weer duidelijk waarom alle tech vooruitgang nog niet betekent dat mensen beter nadenken of keuzes op basis van zinnige veronderstellingen gaan maken. *facepalm*
04-10-2018, 13:10 door
-karma4
Door The FOSS: @karma4 JIJ 'hebt 'm nog niet'... Het gaat hier helemaal niet over rechttoe-rechtaan 'authenticatie met een bsn'. Verdiep je eerst eens in het mechanisme van IRMA's attribuut-uitgifte voordat je je stokpaardje veronderstelt en maar wat roept.
+1
Heel goed initiatief. Heb even een testje gedaan en heb er een goed gevoel over. Wel is enige zelfredzaamheid vereist.
Maar ik denk dat veiligheid vooral ook iets waarvoor je zelf ook iets moet doen.
Natuurlijk zijn er veranderweerstanden.
Maar als ik zie dat het digitaal bankieren op de telefoon een enorme vlucht heeft genomen en vele tevreden gebruikers kent dan moet dit zeker een kans krijgen. Vermoed dat bij wat grootschaliger gebruik velen de voordelen zullen inzien.
Maar ik denk dat veiligheid vooral ook iets waarvoor je zelf ook iets moet doen.
Natuurlijk zijn er veranderweerstanden.
Maar als ik zie dat het digitaal bankieren op de telefoon een enorme vlucht heeft genomen en vele tevreden gebruikers kent dan moet dit zeker een kans krijgen. Vermoed dat bij wat grootschaliger gebruik velen de voordelen zullen inzien.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Informatieveiligheid. Een onderwerp dat in deze (digitale) wereld steeds belangrijker wordt. En helemaal voor een gemeente, waar we werken met talloze informatie van onze inwoners, ondernemers en overige stake-holders. Als CISO ben jij onmisbaar voor onze organisatie. Met jouw ervaring en analytisch inzicht detecteer jij namelijk binnen een mum van tijd eventuele risico’s met betrekking tot informatiebeveiliging.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!
Security Trainer
Heb jij net als de rest van ons een passie voor cybersecurity en wil je in een team werken met mensen die minstens zo enthousiast en gedreven zijn als jij? Lijkt het je tof om wereldwijd security trainingen te geven en je security kennis over te dragen? Dan zijn wij op zoek naar jou!
Are you ready for a challenge?