Nieuwste versie DigiD-app voorzien van extra beveiligingscontrole
DigiD-beheerder Logius heeft een nieuwe versie van de DigiD-app uitgebracht die is voorzien van een extra beveiligingscontrole genaamd key attestation. "Hiermee kan DigiD controleren dat een cryptografische sleutel op het gebruikte apparaat is aangemaakt en veilig opgeslagen. Zo weet DigiD zeker dat deze sleutel hoort bij het apparaat dat gebruikt wordt om in te loggen", aldus Logius in de release notes van de laatste versie.
Volgens de DigiD-beheerder ondersteunen bijna alle smartphones key attestation, op sommige oudere of goedkopere modellen na. "In dat geval kan de ID-check niet opnieuw of voor het eerst uitgevoerd worden. Wel kan er nog steeds worden ingelogd met de app bij organisaties die geen ID-check vereisen. Als de ID-check wel al eerder is uitgevoerd, dan blijft deze voorlopig geldig."
DigiD biedt verschillende betrouwbaarheidsniveaus, die bepalen hoe zeker een organisatie kan zijn over de identiteit van de gebruiker. Het basisniveau bestaat uit een gebruikersnaam met wachtwoord. Dan is er het middenniveau waarbij de gebruiker kiest voor inloggen met de DigiD-app of voor een sms-controle. Als derde is er het substantiële niveau. Dit niveau is bijvoorbeeld vereist wanneer er met extra privacygevoelige gegevens wordt gewerkt. Om deze gegevens in te zien is er een eenmalige ID-check van de gebruiker nodig.
De DigiD-app kan worden opgewaardeerd naar het substantiële betrouwbaarheidsniveau. Hiervoor moet er eenmalig een extra controle (ID-check) van het paspoort, rijbewijs of identiteitskaart aan de app worden toegevoegd. Op telefoons met een NFC-lezer controleert de DigiD-app de gegevens op de chip van het identiteitsbewijs. De gegevens worden vervolgens gecontroleerd. In de nieuwste versie van de DigiD-app is het mogelijk om de ID-check uit te voeren met alle Nederlandse reisdocumenten. Ook wanneer deze bijvoorbeeld is uitgegeven in het buitenland. Dit komt doordat DigiD nu gebruikmaakt van het nieuwe Basisregister Reisdocumenten (BR). Dit register bevalt alle Nederlandse reisdocumenten.
Want Passkeys (in een browser) is veiliger dan een app? Waar sla je de private sleutel van de Passkeys dan op?
Voor mij niet al die apps op mijn telefoon, zeker niet nu ik denk aan een Fairphone met e/OS.
Ik zie niet in waarom de app veiliger zou zijn met "hardware backed key attestation" dan met het opslaan van de keys in de app zelf, mits die app goed gebouwd is. Het principe van DigiD is prima veilig en voor zover ik kan inschatten gebeurt het onderhoud ook goed en transparant. Niets mis mee.
Maar wat ze nu gaan doen is niet meer beveiliging toevoegen, maar het Google ecosysteem verplichten. Want hardware key attestation heb je alleen op telefoons waarbij de bootloader gelocked is. Google probeert dit al tijden verplicht te maken voor Google play services (banken apps werken vaak al niet zonder). En nu help onze overheid een handje door defacto alle custom roms (ook al zijn ze 10× zo secure als iedere andere, zoals GrapheneOS) uit te sluiten van het gebruiken van DigiD.
Zeer, zeer kwalijke zaak.
Is dat een tekortkoming van de DigiD app of van het OS?
En ik wilde net vragen of ze inmiddels alle Google-tracking-zooi uit de app hebben gehaald, maar ik vrees dat die vraag door jouw comment al zo'n beetje wordt beantwoord. Hoogstwaarschijnlijk niet dus :(
De DigiD app maakt géén gebruik van Google trackers, maar bevat slechts 1 crash reporter, namelijk die van Sentry.io
https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest/
De DigiD app zelf verzamelt wel enige geringe statistieken, maar die kun je in de app desgewenst zelf uitschakelen:
Menu > Instellingen > Statistieken > [Aan|Uit]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Netwerkspecialist
Maak jij gemeente Delft digitaal sterker met jouw kennis van netwerken? Wil jij werken met een state-of-the-art netwerk en meebouwen aan de digitale toekomst van Delft? Bij ons combineer je strategie en uitvoering: van het ontwerpen van netwerkarchitectuur tot het oplossen van complexe incidenten. Zo maak jij écht impact, niet alleen op onze organisatie, maar op heel de stad.
Subsidie
Veel IT-dienstverleners wijzen hun mkb-klanten nu op deze cybersubsidie:
Mijn Cyberweerbare Zaak
Ontdek waarom
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?