Nieuws
image

Logius: key attestation DigiD vereist geen Google Play Services

dinsdag 23 september 2025, 16:25 door Redactie, 3 reacties

De key attestation in de nieuwste Androidversie van de DigiD-app vereist geen Google Play Services, zo heeft DigiD-beheerder Logius laten weten. Vorige week meldde Security.NL dat de nieuwste versie van de DigiD-app is voorzien van een extra beveiligingscontrole genaamd key attestation. Veel details over dit nieuwe onderdeel waren niet in de release notes opgenomen. Logius heeft vandaag iets meer informatie gegeven.

Via key attestation kan DigiD controleren of een eerder op de telefoon aangemaakte cryptografische sleutel veilig is opgeslagen. "Zo weet DigiD zeker dat deze sleutel hoort bij het apparaat dat gebruikt wordt om in te loggen. Het bewijs dat de sleutel echt is, komt direct van het apparaat zelf", aldus Logius. Key attestation is vereist voor het uitvoeren van de ID-check in de DigiD-app.

De DigiD-app kan worden opgewaardeerd naar het substantiële betrouwbaarheidsniveau. Hiervoor moet er eenmalig een extra controle (ID-check) van het paspoort, rijbewijs of identiteitskaart aan de app worden toegevoegd. Op telefoons met een NFC-lezer controleert de DigiD-app de gegevens op de chip van het identiteitsbewijs. De gegevens worden vervolgens gecontroleerd.

Volgens Logius ondersteunen de meeste smartphones key attestation. In het geval van telefoons die key attestation niet ondersteunen is het niet mogelijk om de ID-check opnieuw of voor het eerst uit te voeren. Als de ID-check wel al eerder is uitgevoerd, dan blijft deze voorlopig geldig. Als de ID-check niet eerder is uitgevoerd, dan blijft de DigiD-app gewoon bruikbaar om in te loggen bij organisaties die geen ID-check vereisen. Een klein aantal partijen vereist op dit moment de ID-check.

Verder laat de DigiD-beheerder weten dat key attestation in de Androidversie van de DigiD-app niet van Google Play Services afhankelijk is. Dit is software van Google die op Androidtelefoons draait. Sommige aanbieders van Androidtelefoons en Androidgebaseerde besturingssystemen kiezen er wegens privacyredenen voor om Google Play Services standaard niet te installeren of die in een gesandboxte omgeving te laten draaien.

"Door key attestation te gebruiken, kiest DigiD voor een oplossing die aansluit bij beveiligingsstandaarden van mobiele platforms", zo stelt Logius. "Een belangrijk voordeel is dat DigiD hiervoor geen gebruik hoeft te maken van Google Play Services. De DigiD app blijft daarmee onafhankelijk van commerciële platformaanbieders en kan toch gebruikmaken van de nieuwste beveiligingstechnieken."

Reacties (3)
Reageer met quote
Gisteren, 19:41 door Anoniem
Ze kunnen ook gebruik maken van hardware attestation.
Ik ga echt geen root certificaat van de nederlandse overheid op mijn apparaat installeren, dat is vragen om een achterdeurtje.
Correct me if I'm wrong, want hier heb ik de ballen verstand van...
Reageer met quote
Gisteren, 20:33 door Anoniem
Ok, maar wanneer komt er dan een desktop digid app? Er is nog steeds een grote groep mensen die geen smartphone hebben, om wat voor reden ook, of een ouder exemplaar.
Reageer met quote
Gisteren, 21:50 door Anoniem
Uitstekend! Hoe minder afhankelijkheden van Google services hoe beter.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure