Ze verplichten burgers webportals te gebruiken voor communicatie met de overheid (erg dom uitgangspunt om te beginnen) en als er vervolgens weer een kritieke kwetsbaarheid mbt HTTPS bekend wordt waar nog geen oplossing voor is, dan doen ze vervolgens weer waar ze goed in zijn: helemaal niets dus.

De oplossing is simpel. Ontwikkel samen met het bedrijfsleven en de open source community een variant op PGP waar er 2 publieke steutels zijn. 1 voor de ontvanger en 1 voor de AIVD. Neem vervolgens het voortouw in het gebruik hiervan en je voorkomt een grote puinhoop door het altijd maar achter de feiten aanlopen.

Uiteraard gaat de overheid dit pas doen als de puinhoop niet meer te overzien is en men niet anders meer kan. Tegen de tijd dat het eindelijk in de praktijk draait heeft echter elke crimineel een kwamtumcomputer thuis staan waardoor de hele investering weer tevergeefs was.

Mwa.
Ik denk dat communiceren via een portal helemaal niet zo'n slecht idee is.
In ieder geval nu niet.
Er is zoveel spam en phishing dat email wel erg gevaarlijk is. Ik krijg in ieder geval veel phishing. Ik reageer dus niet meer op emails.
Dan is het alternatief van een overheidsportal best aardig. Ik zou dan wel de authenticatie beter willen hebben.

En ja. Als je de authenticatie voor overheidsites beter doe, dan kan je diezelfde middelen ook gebruiken voor beveiliging van emails. Dan hoef je (uiteindelijk) niet meer voor elke partner (overheid, energie, bank, garage, telecom, etc) in te loggen op hun portal om hun betrouwbare berichten te kunnen lezen. Dus je hebt wel een punt.

Inderdaad had ik ook liever gezien dat het eID door de overheid op de identiteitsbewijzen (identiteitsbewijs, paspoort, rijbewijs en verblijfsvergunning) geplaatst zou zijn om transacties (emails, bestellingen, betalingen) met de overheid en bedijven te kunnen doen. Daar zou dan nmm minimaal ook anonimiteitsdiensten (webgebruik voor boven de 18, bestellingen met anonieme betalingen, etc) op moeten kunnen (bijv IRMA van Bart Jacobs). Die twee zouden elkaar goed aanvullen. Authenticatie waar absoluut noodzakelijk, anonimiteit met specifieke zekerheden voor specifiek wettelijk geregelde diensten. Anonimiteit zonder enige zekerheid voor elke andere plek.

De overheid had inderdaad de kans kunnen nemen om op deze manier sleutelmateriaal aan burgers te geven terwijl de overheid tbv inlichtingen en opsporing sleutels uit escrow kan halen (natuurlijk steeds binnen de relevante wetgeving). Veel burgers menen namelijk dat de overheid best mag meelezen als er reden voor is, maar wenst dan meelezen door andere organisaties tegen te gaan. In ieder geval hoeft op deze manier geen backdoor in de crypto aan te brengen. En als iemand toch geheimhouding tav overheid wenst (journalisten, advocaten, etc), dan kan men altijd nog private sleutelmateriaal aanschaffen of terugvallen op pgp, oid.

Tav wapenen tegen phishing.
Ik gebruik geregeld de WBP om in phishing mails genoemde organisaties te bevragen op mijn persoonsgegevens. Als inderdaad blijkt dat het phishing is, dan adviseer ik die organisaties om
1. gezamelijk op te treden tegen de overtreders
2. zelf gebruik te gaan maken van certificaten van bekende betrouwbare CA's
Over het algemeen overtreden die bedrijven zelfs in hun beantwoording nog de WBP (daar ging het mij ook niet om)

Maar goed. Voorlopig meen ik dat een communicatieportal kan helpen.

Mwa, er is nu al een wildgroei aan portals waar je telkens met andere credentials moet inloggen. Als dat allemaal via e-mail kan en ondertekende mail via een whitelist in een apart postvak komt dan zit je ook niet met de privacy bezwaren en login-ellende van portals. En je kan kiezen om de overheid niet mee te laten kijken, bijvoorbeeld bij het communiceren met de zorg (die nu niet eens portals gebruiken maar nog plain text mailen) of advocaten.

Portal is meer een noodoplossing tot er iets beters is. Maar zo ziet de overheid dat niet: die redeneren we hebben iets dat (in theorie) voldoet. Geen noodzaak om verder te kijken dus.

Ze liggen wel altijd te piepen dat ze door encryptie alles missen en nu hebben ze de kans om alles belangrijke communicatie veilig te maken, met exclusieve transparantie nog wel, en dan doen ze er vervolgens weer helemaal niets mee. Geeft een beetje de indruk dat het ze allemaal maar niets uitmaakt.

Met het bestaande S/MIME en wat certificaten kun je al een heel eind komen, zelfs Outlook ondersteund dit standaard.

Wacht eens even... Als we met de overheid gaan mailen dan verdient het bedrijf dat de aanbesteding heeft gekregen voor de webportal, hier geen grof geld meer aan... Daarom blijven we maar halve oplossingen gebruiken, zodat de directeuren van dat soort bedrijven meer vakantiewoningen kunnen kopen. Toch?

Op dit moment lijkt me rondom identiteitsfraude de twee hoogste prioriteiten:

1. Het beperken van de gevolgen. De grote maatschappelijke schade is niet zozeer vanwege de identiteitsfraude, maar vanwege de ongevoelige en vaak ongelovige reacties van de instanties, waardoor het once robbed, twice the victim effect optreedt.

2. Preventie. We kunnen veel doen door over te stappen voor onze officiële communicatie op moeilijker vervalsbare autorisatie (overigens vaak gebaseerd op onbreekbare encryptie), door compartimentering (zodat één kopietje paspoort niet meer op tig plaatsen tot identiteitsfraude kan leiden), en in een aantal gevallen simpelweg door de identiteit uit het spel te nemen (waarom een kopietje paspoort met dezelfde waarde als het openen van bankrekeningen en hypotheken voor honderdduizenden euros voor een telefoonabonnement van een paar tientjes?). Het 80/20 omslagpunt is hier nog lang niet bereikt.