De wallets voor de Europese digitale identiteit zijn een cadeau voor Apple en Google, zo stelt de Amsterdamse non-profitorganisatie Waag Futurelab. De Europese Commissie presenteerde in 2021 plannen voor de invoering van een digitale identiteit waarmee burgers zich in de gehele Europese Unie kunnen identificeren. Vanuit een speciale wallet-app voor smartphones en 'andere apparaten' moeten burgers zich kunnen identificeren en elektronische documenten delen. Grote platformen zullen worden verplicht om de nieuwe Europese digitale identiteit te accepteren.
De wallets maken gebruik van verschillende services van Apple en Google, de Google Play Integrity API en Managed Device Attestation van Apple. De services moeten de integriteit van de onderliggende hardware waarborgen. App-ontwikkelaars kunnen van de services gebruikmaken om te controleren of hun app niet op gemanipuleerde hardware draait. De Play Integrity API van Google controleert echter niet alleen de integriteit van de hardware, maar ook of het toestel een door Google gelicenseerde versie van Android draait. Alternatieve Android-versies worden als een mogelijk veiligheidsprobleem bestempeld. Ook wordt gekeken of de betreffende app vanuit de Google Play Store is geïnstalleerd.
Het ontwerp van Googles service zorgt ervoor dat alternatieve Androidversies worden buitengesloten en gebruikers worden aangespoord om alleen apps vanuit de Google Play Store te installeren, waar het verplicht is om met een Google-account in te loggen, aldus Waag Futurelab. "Dit is een duidelijk schending van de Digital Market Act (DMA)." Er is een open alternatief voor de Play Integrity API beschikbaar, maar dat wordt volgens de organisatie genegeerd. "De EU zegt vaak het Big Tech-monopolie te willen opbreken. Toch lopen Europese lidstaten het risico om Googles ecosysteem te versterken door de Google Play Integrity API in de architectuur van hun digitale ID-wallet te integreren."
Volgens Waag Futurelab zijn ID-wallets publieke infrastructuur om toegang tot belangrijke publieke diensten te krijgen. Daardoor zouden ze interoperabel tussen verschillende apparaten en besturingssystemen moeten zijn, vrij van vendor lock-in. Het gebruik van de Play Integrity API wordt niet door de EU verplicht, maar wel aanbevolen. Daardoor is er nu een lappendeken ontstaan waarbij sommige landen de API niet gebruiken en andere die verplichten.
"Als Europa digitale autonomie serieus neemt, zou het de attestatie van Google en Apple volledig uit het Architecture Reference Framework moeten verwijderen en open, hardware-gebaseerde attestatie-mechanismen moeten verplichten", stelt Waag Futurelab. Dat wijst als voorbeeld naar Zwitserland, dat vanwege zorgen over privacy, datasoevereiniteit en vrije keus Google Play Integrity heeft laten vallen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer maak jij de stad digitaal veilig. Je bepaalt de koers voor informatiebeveiliging en zorgt dat beleid werkt. Je adviseert bestuur, stuurt een team aan en werkt samen met partners voor duidelijke keuzes met blijvende impact.
