image

Identiteitsplatform IRMA omgedoopt tot identity wallet Yivi

woensdag 1 maart 2023, 13:53 door Redactie, 16 reacties

Het identiteitsplatform IRMA is door de ontwikkelaars omgedoopt tot identity wallet Yivi. In de wallet-app kunnen gebruikers vanaf 4 april allerlei vertrouwelijke gegevens opslaan, zoals digitaal paspoort, inlogsleutels, handtekening en andere zaken, om die vervolgens met anderen te kunnen delen. Gegevens in de wallet-app zijn via een mobiele telefoon en een pincode te gebruiken. Een wachtwoord om op websites in te loggen is niet nodig. Websites moeten in dit geval wel inloggen via Yivi ondersteunen.

Gegevens die gebruikers in de Yivi-app opslaan bevinden zich alleen daar. "Er is geen centraal opslagpunt zoals een cloud. Zo ben jij de enige die bij je eigen gegevens kan. Verwijder je gegevens uit de app? Dan zijn ze ook echt weg. Jij bent volledig in controle over je gegevens. Alleen jij bepaalt wat je deelt. En met wie", zo stellen de ontwikkelaars. De Yivi-app bevindt zich nog in de bètafase en zal op 4 april in de Apple Appe Store, F-Droid en Google Play Store beschikbaar zijn.

IRMA is ontwikkeld door de in Nijmegen opgerichte stichting Privacy by Design van hoogleraar Bart Jacobs. De Stichting is een non-profit spin-off van de onderzoeksgroep Digital Security van de Radboud Universiteit en het Privacy and Identity Lab. Deze partijen doen al sinds 2009 onderzoek naar 'attribuut gebaseerde digitale identiteit', wat leidde tot de ontwikkeling van IRMA.

Op 25 september 2019 tekenden Privacy by Design en Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, een samenwerkingsovereenkomst om bij de ontwikkeling en uitrol van IRMA samen te werken. SIDN is sinds augustus 2019 verantwoordelijk voor het beheer van de backbone van IRMA en is ook de partij die achter Yivi zit.

Reacties (16)
01-03-2023, 14:33 door Anoniem
Leuk dat zo'n app privacy technisch goed in elkaar zit, maar zodra je het op een OS van een advertentieboer zet ben je natuurlijk alsnog het haasje.
01-03-2023, 14:44 door Anoniem
Dit soort apps zijn er niet zonder reden. Dit is er alleen maar om centraal gebruikers te volgen.
01-03-2023, 14:50 door jcx4
Door Anoniem: Leuk dat zo'n app privacy technisch goed in elkaar zit, maar zodra je het op een OS van een advertentieboer zet ben je natuurlijk alsnog het haasje.
Gelul natuurlijk, je etaleert IT-kennis op boomer-niveau. Maar het scoort wel makkelijk.

Persoonlijk vind ik het veel erger dat ze de leuke en toegankelijke naam IRMA door iets sufs als "Yivi" hebben vervangen.
01-03-2023, 14:59 door Erik van Straten - Bijgewerkt: 01-03-2023, 15:06
Dom, dom, dom.

Het "internet" is veel te onveilig. Je kunt namelijk veel te eenvoudig verleid worden om vertrouwelijke gegevens te delen met cybercriminelen die zich voordoen als betrouwbaar geachte partijen (doorsnee mensen kunnen fake websites onmogelijk van echte onderscheiden), websites van "betrouwbare" partijen worden aan de lopende band gehacked en keer op keer blijkt de hardware in onze handen, die we voor dit doel hier noodzakelijkerwijs enorm zullen moeten kunnen vertrouwen, onbetrouwbaar: https://www.heise.de/news/TPM-2-0-Fehler-in-Spezifikation-ermoeglichen-Ausfuehrung-von-Schadcode-7531171.html.

Er zijn zaken waarbij de risico's (in elk geval voor een aanzienlijk deel van de bevolking en/of de door hen bezitte apparaten) simpelweg te groot zijn om ze te online te willen kunnen doen.

Naast dat we ons daar veel te afhankelijk van maken. Dan kun je wel gaan dreigen (https://security.nl/posting/787543) maar als je niet eens kunt voorkomen dat een paar jonge mannen de persoonsgegevens van zo'n beetje alle Nederlanders bij elkaar kunnen harken doordat ze bijna overal digitaal kunnen "binnenwandelen", moet je niet zo'n grote broek aantrekken en zeker niet met digitale persoonsbewijzen gaan strooien.

En hou op met die stomme digitale "wallets", anders krijgen we ook in NL dit soort absurde Amerikaanse toestanden, uit https://www.dallasnews.com/news/politics/2023/02/27/thousands-of-asian-texans-targeted-in-drivers-license-breach/ (bron: https://infosec.exchange/@metacurity/109938726039820682):
Thousands of Asian Texans targeted in driver’s license breach
A “Chinese organized crime group based in New York” was able to obtain thousands of licenses from the state due to lax security protocols, officials confirmed Monday.

By Lauren McGaughy and Allie Morris, 10:59 AM on Feb 27, 2023 CST — Updated at 6:49 PM on Feb 27, 2023 CST
Update: Updated at 6:45 p.m. with comments from a board member of DFW Chinese Alliance.
[...]
No state systems were hacked, officials said. Instead, the criminal actors were able to fraudulently obtain the licenses in a scheme [1] McCraw described this way: personal data about Texans of Asian descent was obtained on the dark web, including credit card and personal information, and then used to request replacement driver’s licenses from the state. The group specifically targeted Asians of various backgrounds with the hopes of finding “look-alikes” to match with Chinese nationals here in the country illegally, he said.
[...]
While DPS issues licenses, they are ordered through a portal operated by a separate agency, the Texas Department of Information Resources. At least four thousand fraudulent accounts were created and 2,400 licenses were shipped to “third-party addresses,” according to a letter from DPS notifying legislators of the problem.
[...]
DPS first learned about the problem at the end of last year, but has not yet notified affected Texans because they have been working on the criminal investigation and apprehending those responsible, McCraw said, some of whom he said have been arrested.
[...]
Hailong Jin, board member of the DFW Chinese Alliance, said he, along with many in the Chinese American community in North Texas learned about stolen data through news reports. He said the state should have notified potential victims earlier and stressed the importance of language-appropriate material for victims who are not English-proficient.
[...]
Jeoff Williams, DPS Deputy Director of Law Enforcement Services, told lawmakers the bad actors did not breach the state’s system, but rather exploited existing security vulnerabilities in the online portal.

Texans looking to log into the license system had to provide an audit number on their driver’s license or answer a series of questions about themselves, such as previous addresses or their mother’s maiden name. The bad actors were able to find those personal details on the dark web to gain access to Texans’ accounts, Williams said.

In order to pay for the replacement, the system only required a credit card number, but not the billing zip code or the three-digit code on the back on the card, known as a CVV, he added. Williams said the department asked the Department of Information Resources and the agency’s vendor to address those issues.
[...]

Uit [1] = https://www.dallasnews.com/news/texas/2023/02/27/possible-victim-of-id-theft-scam-targeting-asian-texans-i-have-to-be-on-constant-alert/:
Possible victim of ID theft scam targeting Asian Texans: ‘I have to be on constant alert’
[...]
By Hojun Choi, 7:22 PM on Feb 27, 2023 CST

Allen resident Ping Du says he was in Mexico in late December when his family vacation was ruined by an alert from his bank that his personal information on record had been updated without his knowledge.

A bank representative told Du that someone had walked into a bank branch in New York and provided a physical driver’s license under his name. Fortunately, Du said, he was able to put a freeze on his bank account before the fraudster tried to withdraw money the following day.

But that wasn’t the last time that Du was put on notice about potential fraud related to his identity — a different bank notified him that credit cards were being sent out to an address he didn’t know, and a mobile phone service provider told him about a new account that he did not make.
[...]

Betrouwbaar absoluut (bewijzen dat jij de persoon bent op jouw identiteitsbewijs, mits terecht op jouw naam gezet) authenticeren
*KAN NIET ONLINE*.
01-03-2023, 15:06 door Anoniem
Door Erik van Straten: [...]
Betrouwbaar absoluut (bewijzen dat jij de persoon bent op jouw identiteitsbewijs, mits terecht op jouw naam gezet) authenticeren
*KAN NIET ONLINE*.

IRMA/Yivi toont aan dat het juist wel kan.
01-03-2023, 15:22 door Anoniem
Door jcx4:
Door Anoniem: Leuk dat zo'n app privacy technisch goed in elkaar zit, maar zodra je het op een OS van een advertentieboer zet ben je natuurlijk alsnog het haasje.
Gelul natuurlijk, je etaleert IT-kennis op boomer-niveau. Maar het scoort wel makkelijk.

Persoonlijk vind ik het veel erger dat ze de leuke en toegankelijke naam IRMA door iets sufs als "Yivi" hebben vervangen.


Volgens mij heeft Anoniem 14:33 wel degelijk een sterk punt.

Technisch kan een OS wel degelijk alles tenietdoen wat de applicaties beveiligen, en dat juist dat OS onder de controle valt van partijen met dubieuze verdienmodellen en reputaties ondergraaft de werking van en het vertouwen in zo'n applicatie.

Tekenend, trouwens, dat je geen enkele uitleg geeft bij het label "Gelul natuurlijk".
01-03-2023, 15:46 door Erik van Straten
Door Anoniem: IRMA/Yivi toont aan dat het juist wel kan.
Nee, want jij weet niet met wie je jouw persoonsgegevens e.d. deelt noch in wiens handen die zullen en kunnen vallen, en de andere kant weet niet of de authenticerende smartphone van jou is, daar geen malware op actief is en of het legitimatiebewijs dat daarop gedigitaliseerd is überhaupt wel van jou is.

Dat je met IRMA kunt kiezen welke gegevens je deelt klinkt leuk maar is bull shit als je op een website bent omdat je iets wilt en die website (f*ck AVG niemand handhaaft) een hele reeks persoonsgegevens vereist (zoals nu ook al noodzakelijk is bij de meeste webshops om iets te kunnen bestellen).

Laat staan wat er gevraagd zal worden op een nepsite en jij (nog) niet door hebt dat het om een nepsite gaat. Nb.: nette mensen kunnen, met IRMA e.d., niet meer liegen over bijvoorbeeld hun leeftijd omdat dit de andere kant geen ruk aangaat. Waardoor ook nette mensen zullen worden verleid om identiteitsfraude te plegen.

En wie denkt dat mensen die te jong zijn om iets te mogen wat zij beslist wel willen daar geen "creatieve" oplossingen voor zullen vinden, is ongelofelijk naïef. Ik verwacht zelfs dat er betaalde diensten zullen ontstaan waarbij je met een proxy-app op je telefoon gebruik kunt maken van "identiteitsezels". Mede mogelijk gemaakt door IRMA als je alleen maar "jouw" leeftijd hoeft te delen.

Die proxy-apps + identiteitsezels zijn ook handig voor de mensen die (om welke reden dan ook) meer nadelen dan voordelen zien dat anderen precies weten wie zij zijn.

Betrouwbaar absoluut authenticeren
*KAN NIET ONLINE*.

En de maatschappij wordt er niet beter van als steeds meer partijen precies weten wie de nette mensen zijn en wanneer exact waarvoor zij zichzelf hebben gelegitimeerd zodat zij overal te tracken zijn.

Als dit toch wordt doorgedramd gaat dit tot zeer veel identiteitsfraude leiden en neemt bovendien de betrouwbaarheid van alle vormen van absolute identicatie sterk af. Want hoe ben je aan dat tastbare paspoort of rijbewijs gekomen? Zie Dallas hierboven. Naast de mogelijkheden voor tracking door marketingpartijen, clubs die ons verder willen kunnen beïnvloeden en overheidssurveillance.
01-03-2023, 15:50 door Anoniem
@erik van straten
Jammer dat een van de voorbeelden zelfs zonder computer uitgevoerd is... In persoon bezoek bij een kantoor...

Kijk eens beter naar het design van IRMA zou ik zeggen in plaats van een paar random linkjes die je betoog half ondersteunen.
01-03-2023, 17:05 door Anoniem
Ja weer een andere naam! Geweldig echt geweldig dat maakt vast get verschil >:/
01-03-2023, 19:44 door Erik van Straten
Door Anoniem: @erik van straten
Jammer dat een van de voorbeelden zelfs zonder computer uitgevoerd is... In persoon bezoek bij een kantoor...
Met een onterecht verkregen rijbewijs (van iemand anders) met lijkt-op-foto, dat als enige item niet goed werd gecontroleerd (het rijbewijs was echt en alle andere gegevens erop correct). Het probleem hier zijn verlengde ketens met deels zeer zwakke schakels.

Als een fraudeur straks met een IRMA-app, met daarin jouw gegevens, online een rijbewijs kan aanvragen en kan opgeven waar dat naartoe gestuurd moet worden, krijgen we hier precies hetzelfde probleem.

Door Anoniem: Kijk eens beter naar het design van IRMA zou ik zeggen in plaats van een paar random linkjes die je betoog half ondersteunen.
Ik weet hoe IRMA werkt, maar dat is irrelevant. Kijk eens beter naar mijn argumenten waarom zo'n (goed bedoelde) app in de huidige praktijk niet veilig kan werken. Niet omdat dit aan die app ligt, maar aan de context waarbinnen deze gebruikt wordt.
01-03-2023, 20:09 door jcx4
Door Anoniem:
Door jcx4:
Door Anoniem: Leuk dat zo'n app privacy technisch goed in elkaar zit, maar zodra je het op een OS van een advertentieboer zet ben je natuurlijk alsnog het haasje.
Gelul natuurlijk, je etaleert IT-kennis op boomer-niveau. Maar het scoort wel makkelijk.

Persoonlijk vind ik het veel erger dat ze de leuke en toegankelijke naam IRMA door iets sufs als "Yivi" hebben vervangen.


Volgens mij heeft Anoniem 14:33 wel degelijk een sterk punt.

Technisch kan een OS wel degelijk alles tenietdoen wat de applicaties beveiligen, en dat juist dat OS onder de controle valt van partijen met dubieuze verdienmodellen en reputaties ondergraaft de werking van en het vertouwen in zo'n applicatie.

Tekenend, trouwens, dat je geen enkele uitleg geeft bij het label "Gelul natuurlijk".
Natuurlijk geef ik geen uitleg. Dat is een gebed zonder end. Zeker de hele avond "ja maar Google is evil!!11" proberen te weerleggen, die is leuk.

Iets met worstelen met varkens in de modder enzo
01-03-2023, 21:46 door Anoniem
Beste mensen

- De ene mens heeft echte behoefte aan online authenticatie. Zeker als die grensoverschrijdend zaken wil doen (bijv inschrijven op een universiteit).
- een ander mens wil er absoluut niet aan. die meent dat er geen absolute veiligheid bestaat.

ik denk dat allebei de standpunten verdedigbaar zijn. Zeker vanuit een eigen perspectief. Daarom moet infrastructuur en wetgeving beschikbaar komen die ruimte geeft aan beide standpunten. Dat impliceert
- infrastructuur tbv zo goed mogelijke veiligheid, zo groot mogelijke privacy
- het recht en de practische mogelijkheid om die infrastructuur NIET te gebruiken (ik denk dat dit in de flankerende wetgeving moet staan).

Over absoluut: Ik voel me echt wel veilig op de weg, maar ben niet absoluut veilig. Toch ga ik naar mijn werk, naar de winkel, naar het strand. Het alternatief: thuis blijven is ook niet absoluut veilig. Vooral niet als er een vliegtuig op mijn huis land.

Over absolute veiligheid in één keer bereiken: soms ga ik naar mijn slaapkamer op de eerste verdieping. Daar ben ik echt niet in één stap. Het kost vaak 13 treden traplopen. En ook de huidge veiligheid op de weg is een ontwikkeling van jaren.
01-03-2023, 22:33 door Anoniem
Door Erik van Straten:...
Jij maakt de bekende IT'er fout te stellen dat iets alleen maar acceptabel kan zijn als het 100.00000% goed werkt.
Dat is in het dagelijks leven nooit het geval, maar daarom kan iets nog wel een goede en bruikbare oplossing zijn.
Zeker als die beter werkt dan wat tot dat moment gebruikelijk was.
02-03-2023, 10:33 door Erik van Straten
Door Anoniem:
Door Erik van Straten:...
Jij maakt de bekende IT'er fout te stellen dat iets alleen maar acceptabel kan zijn als het 100.00000% goed werkt.
Dat is in het dagelijks leven nooit het geval, maar daarom kan iets nog wel een goede en bruikbare oplossing zijn.
Zeker als die beter werkt dan wat tot dat moment gebruikelijk was.
Jij maakt, zonder inhoudelijke argumenten te geven, de bekende techsolutionistenfout door te stellen dat als iets veel handiger is, dat acceptabel moet zijn - zonder over de toegenomen risico's na te willen denken of de tegenargumenten te willen wegen, en in plaats daarvan als "verdediging" gaat liegen dat waarschuwers 100.00000% betrouwbaarheid willen. Terwijl identiteitsfraude met "ID-wallets" zeker eenvoudiger wordt dan wat tot dat moment gebruikelijk was (en al stijgende was doordat velen denken dat online absoluut authenticeren überhaupt betrouwbaar mogelijk is, zoals door het opsturen van een scan van een identiteitsbewijs).

Hoe meer er te halen valt en hoe makkelijker je het identiteitsfraudeurs maakt, hoe meer je hen op je pad zult vinden (zo ook hier: https://www.bleepingcomputer.com/news/security/trezor-warns-of-massive-crypto-wallet-phishing-campaign/).
03-03-2023, 09:58 door Anoniem
Door Anoniem:
Door Erik van Straten: [...]
Betrouwbaar absoluut (bewijzen dat jij de persoon bent op jouw identiteitsbewijs, mits terecht op jouw naam gezet) authenticeren
*KAN NIET ONLINE*.

IRMA/Yivi toont aan dat het juist wel kan.
En jij hebt daar vertrouwen in?
Laat maar. Kansloos.

Online veiligheid bestaat niet. Je kunt wellicht doen alsof. En meestal zal het goed gaan. Het idee achter 'veilig' is nou juist dat het altijd goed gaat, niet meestal.
03-03-2023, 15:02 door Erik van Straten - Bijgewerkt: 03-03-2023, 15:03
Door Anoniem: Online veiligheid bestaat niet. Je kunt wellicht doen alsof. En meestal zal het goed gaan.
Je spreekt jezelf tegen, dat is koren op de molen van de ongebreidelde voorstanders van de volledige online maatschappij.

Door Anoniem: Het idee achter 'veilig' is nou juist dat het altijd goed gaat, niet meestal.
Ook dat klopt niet. Er worden soms identiteitsbewijzen uitgegeven op naam van een onschuldig slachtoffer met de pasfoto van een crinineel erop (voorbeeld: https://nos.nl/artikel/2445277-opnieuw-haagse-ambtenaar-verdacht-van-het-uitgeven-valse-id-bewijzen).

En er worden identiteitsbewijzen gestolen en gemanipuleerd.

Het probleem met absolute online authenticatie is dat er een heel stel risico's bijkomt. Helemaal indien, uit https://www.security.nl/posting/787747/Brussel+kondigt+plannen+aan+voor+Europees+digitaal+rijbewijs:
Verder claimt de Commissie dat het eenvoudiger wordt om een rijbewijs te vervangen of vernieuwen, omdat alle procedures online plaatsvinden.
Dat is precies wat er fout ging in Texas (zoals ik hierboven beschreef in https://security.nl/posting/787625).

Oftewel: hoe vervang je de huidige redelijk betrouwbare korte keten voor offline/live authenticatie door een langere keten - aangevuld met zwakke schakels - om het burgers "gemakkelijker" te maken en (vooral) om te kunnen bezuinigen op stadhuismedewerkers "want er verschijnen nog maar weinig mensen aan de balie"?

En je het, ook nog eens, mensen die niet online kunnen of willen authenticeren steeds lastiger maakt? Hebben banken precies dit niet aangetoond?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.