image

EFF: verplichte leeftijdsverificatie ondermijnt anonimiteit op internet

dinsdag 14 maart 2023, 17:00 door Redactie, 16 reacties

Wetten die online leeftijdsverificatie verplichten ondermijnen de anonimiteit op internet, zo stelt de Amerikaanse burgerrechtebeweging EFF. Volgens de beweging zijn leeftijdsverificatiesystemen eigenlijk surveillancesystemen en niet de juiste manier om jongeren te beschermen. Daarnaast is er het risico dat dit leidt tot een internet waar privégegevens standaard worden verzameld en verkocht.

Bij leeftijdsverificatie moeten gebruikers van bepaalde websites of webdiensten aantonen dat ze een minimale leeftijd hebben. Dit raakt niet alleen jongeren, maar iedereen die de betreffende site bezoekt. "Zodra de informatie is gedeeld om de leeftijd te verifiëren, is er geen manier voor een bezoeker om zeker te weten dat de gegeven data niet door de website wordt bewaard en gebruikt, of verder gedeeld of zelfs verkocht", zo stelt de EFF.

Volgens de burgerrechtenbeweging is er een risico dat medewerkers van de website de data misbruiken of dat het wordt gestolen. "Hoe meer informatie een website verzamelt, hoe groter de kans dat die in de handen terechtkomt van een marketingbedrijf, aanvaller of iemand die het vordert." Een ander punt dat de burgerrechtenbeweging noemt is dat leeftijdsverificatiesystemen in de praktijk vaak te omzeilen zijn.

In de Verenigde Staten zijn ook tientallen miljoenen inwoners die geen door de overheid uitgegeven identificatie hebben. Die zouden dan niet meer bepaalde websites kunnen bezoeken. "Niemand zou zijn rijbewijs moeten afstaan om gratis websites te bezoeken", aldus EFF, dat toevoegt tegen leeftijdsverificatie te zullen blijven strijden.

Reacties (16)
14-03-2023, 17:06 door Anoniem
Het is weer typisch een zinloos stukje moeilijk doenerij. Alsof we 'vroeger' als 12 jarige geen sexboekjes konden kijken...
14-03-2023, 17:24 door Erik van Straten - Bijgewerkt: 14-03-2023, 17:25
Betrouwbare "online leeftijdsverificatie" is fundamenteel onmogelijk.

Ons wordt voorgespiegeld dat het doel is dat mensen, die oud genoeg zijn om iets te mogen, aantonen dat zijn oud genoeg zijn en dat "het dan goedkomt". Maar dat is larie.

Wat je echt wilt is dat mensen, die jonger zijn dan een bepaalde leeftijd, niet kunnen aantonen dat zij ouder (oud genoeg) zijn. En dat is veel te eenvoudig te omzeilen.

En als we iets geleerd hebben van de Coronacrisis, is dat veel jongeren er hun hand niet voor ondraaien om te frauderen om voor elkaar te krijgen wat zij willen.
14-03-2023, 17:50 door Anoniem
EFF moet ff beter nadenken voordat ze brullen. Nog nooit van IRMA gehoord zeker?

Je kunt wel veilig en met privacy je leeftijd delen. Dat is helemaal geen issue. Echter, die methode https://irma.app/
Door Erik van Straten: Betrouwbare "online leeftijdsverificatie" is fundamenteel onmogelijk.

Ons wordt voorgespiegeld dat het doel is dat mensen, die oud genoeg zijn om iets te mogen, aantonen dat zijn oud genoeg zijn en dat "het dan goedkomt". Maar dat is larie.

Wat je echt wilt is dat mensen, die jonger zijn dan een bepaalde leeftijd, niet kunnen aantonen dat zij ouder (oud genoeg) zijn. En dat is veel te eenvoudig te omzeilen.

En als we iets geleerd hebben van de Coronacrisis, is dat veel jongeren er hun hand niet voor ondraaien om te frauderen om voor elkaar te krijgen wat zij willen.
Sorry, maar dit klopt niet. Met IRMA kan dit dus heel goed zonder prive data te geven. Je moet alleen je telefoon niet afgeven aan derden. Maar dat is hetzelfde als je ID kaart afgeven of credit card of pinpas. Dat is dom.

Dus mensen, verdiep u eens in: https://irma.app/ of zoals het nu heet YIVI

Daarmee kun je aantonen dat je 18+ bent, of 21+ bent zonder andere data prijs te geven. Deze toepassingen zijn heel goed te gebruiken. Zowel in drank winkels als online. De data staat alleen op JOUW telefoon!

En fraude is strafbaar. Dus dat is geen reden om te zeggen dat er geen oplossing is. Een andere ID invoeren is gewoon ID diefstal, en daar zijn straffen voor.

TheYOSH
14-03-2023, 17:51 door Anoniem
Door Erik van Straten: Betrouwbare "online leeftijdsverificatie" is fundamenteel onmogelijk.

Ons wordt voorgespiegeld dat het doel is dat mensen, die oud genoeg zijn om iets te mogen, aantonen dat zijn oud genoeg zijn en dat "het dan goedkomt". Maar dat is larie.

Wat je echt wilt is dat mensen, die jonger zijn dan een bepaalde leeftijd, niet kunnen aantonen dat zij ouder (oud genoeg) zijn. En dat is veel te eenvoudig te omzeilen.

En als we iets geleerd hebben van de Coronacrisis, is dat veel jongeren er hun hand niet voor ondraaien om te frauderen om voor elkaar te krijgen wat zij willen.

Nou niet echt, met de EID die aan alles van je gekoppeld zou dat moeten lukken behalve in heel enkele gevallen. Dat is precies een van de doelen hiervan. Niet dat je die rotzooi wil gebruiken maar dat was niet de vraag
14-03-2023, 19:44 door Anoniem
Door Anoniem: Het is weer typisch een zinloos stukje moeilijk doenerij. Alsof we 'vroeger' als 12 jarige geen sexboekjes konden kijken...

Die lagen in het nachtkastje van mijn vader. Dat was (als 12 jarige) dus niet zo moeilijk.
14-03-2023, 19:49 door Anoniem
Door Erik van Straten: Betrouwbare "online leeftijdsverificatie" is fundamenteel onmogelijk.

Ons wordt voorgespiegeld dat het doel is dat mensen, die oud genoeg zijn om iets te mogen, aantonen dat zijn oud genoeg zijn en dat "het dan goedkomt". Maar dat is larie.

Wat je echt wilt is dat mensen, die jonger zijn dan een bepaalde leeftijd, niet kunnen aantonen dat zij ouder (oud genoeg) zijn. En dat is veel te eenvoudig te omzeilen.

En als we iets geleerd hebben van de Coronacrisis, is dat veel jongeren er hun hand niet voor ondraaien om te frauderen om voor elkaar te krijgen wat zij willen.

Daar heb je geen corona-crisis voor nodig. Dat is van alle tijden.

Bv naar een film gaan waar je te jong voor was. Of met vrienden (scholieren) naar een cafe gaan.
(En dan hebben we het nog niet over schoolreisje of vakanie op Vlieland)

Het kon allemaal. Als je er maar "oud" genoeg uit zag. Of dat zelf dacht,
Niemand die daar moeilijk over deed.
:-)
15-03-2023, 01:00 door Erik van Straten
Door Anoniem (TheYOSH):
Door Erik van Straten (typo gefixed: zijn -> zij): Ons wordt voorgespiegeld dat het doel is dat mensen, die oud genoeg zijn om iets te mogen, aantonen dat zij oud genoeg zijn en dat "het dan goedkomt".
Dus mensen, verdiep u eens in: https://irma.app/ of zoals het nu heet YIVI

Daarmee kun je aantonen dat je 18+ bent, of 21+ bent zonder andere data prijs te geven. Deze toepassingen zijn heel goed te gebruiken.
Precies zoals ik schreef. Verduidelijkt, de voorwaarde om te kunnen krijgen wat jij wilt is dat je oud genoeg bent:

Indien je oud genoeg bent, is dat laatste aantonen vanzelfsprekend in jouw belang. Maar als je oud genoeg bent, behoor je niet tot de feitelijke doelgroep. Een open deur intrappen dus.

• Indien je te jong bent, is dat laatste aantonen niet in jouw belang - dus dat doet niemand (en de malloot die het wel doet krijgt niet wat zij/hij wil).

• Daar komt bij dat het primaire belang van elke verkoper is om te verkopen. Wat er in de praktijk gebeurt (als de pakkans verwaarloosbaar is, wat zo is) beschreef ik bij o.a. de Gorilla's onderin in [1].

[1] https://security.nl/posting/788204

Door Anoniem (TheYOSH): En fraude is strafbaar. Dus dat is geen reden om te zeggen dat er geen oplossing is.
Het gaat hier niet over brave jonge mensen die wel iets "stouts" willen, maar accepteren dat zij dat nog niet mogen.

We hebben het dus over jonge mensen met opgestoken middelvinger die iets willen. Okay, mogelijk overschat een deel van hen de pakkans en strafmaat van circa nul en haakt daarom af (maar, reken je niet rijk; news travels fast). Vooral als het om een verslaving gaat (roken, alcohol, gokken) en/of "erbij willen horen", zijn mensen uiterst creatief, en vooral veel jonge mensen nemen grotere risico's (voor zover hier van toepassing) dan ouderen zouden doen.

Daarbij is notabene IRMA/Yivi ideaal voor identiteitsfraudeurs: met hoe minder identificerende gegevens (naast "ik ben oud genoeg") je "identiteitsfraude" pleegt, hoe kleiner de pakkans. Zie ook mijn tip onderin [1].

Door Anoniem (TheYOSH): Zowel in drank winkels [...]
Een smartphone die jij in jouw handen hebt kan niet aantonen dat jij oud genoeg bent, want daarop kun je laten zien wat je wilt - en bovendien ontbreekt het bewijs dat het jouw smartphone is. Daarnaast, als het echt jouw smartphone is, dan wil dat nog niet zeggen dat de IRMA/Yivi/eID gegevens daarop van jou zijn. Okay, er bestaan manieren om dat toch te kunnen bewijzen:

a) Door tevens jouw identiteitsbewijs te laten zien, zodat de drankverkoper kan checken dat jouw app niet liegt. Maar dan is die app overbodig;

b) Door overdracht van een unieke identifier van jou, zoals jouw Europese burger-("service" voor wie?)-nummer, naar de smartphone van de drankverkoper (bijv. via een door jouw toestel getoonde QR-code). Op basis waarvan de smartphone van de verkoper jouw pasfoto downloadt (wellicht vanaf pasfotos.rijksoverheid.nl) en toont op zijn toestel - ter verificatie dat de door jouw geclaimde minimale leeftijd hoort bij het individu met jouw tronie.

Van dat laatste bestaat overigens al een POC, uit https://security.nl/posting/781207:
Als de virtuele barman haar ID-kaart of wallet vraagt om haar leeftijd te controleren, laat de staatssecretaris een code uit de wallet zien. De barman scant die en ziet gegevens en een foto van Willeke op zijn telefoon verschijnen.
Hier pleegt de staatssecretaris overigens identiteitsfraude - want haar voornaam luidt niet "Willeke", en waarschijnlijk is de foto ook niet van mevrouw van Huffelen.

En nu hebben we m.i. echt een vet probleem: ik ben nog net bereid om mijn identiteitsbewijs te laten zien aan iemand die ik voldoende vertrouw, maar mijn pasfoto plus unieke identifier (en mogelijk aanvullende persoonsgegevens) op de smartphone van een verkoper vind ik disproportioneel - en dan ben ik niet eens een "lekker wijf". Het digitaal delen van pasfoto's en unieke Europese burgernummers lijkt mij trouwens ook niet erg in lijn met de filosofie van IRMA/Yivi.

Door Anoniem (TheYOSH): [...] als online. De data staat alleen op JOUW telefoon!
Nee, een kopie van (een deel van) die data moet ook naar de "andere kant". Jouw vragen daarbij zouden moeten zijn:

1) Wie claimt die "andere kant" te zijn?

2) Hoe weet je dat die partij is wie zij claimt te zijn? Is gall-en-gall.com van wie die domeinnaam suggereert te zijn?

3) Welke persoonsgegevens (plus andere informatie van/over jou) wil de andere kant dat jij met hen deelt en waarom; overvragen zij niet? (Vooral als die partij niet is wie zij claimt te zijn, ligt dit enorm voor de hand).

4) Welke andere persoonsgegevens van jou (plus andere informatie van/over jou) zijn eerder van jou of via een derde partij verkregen en worden nu gecombineerd? Da's SuperSimpel indien bij elke transactie jouw Europese burgernummer wordt meegestuurd.

5) Kan die partij (of een foute medewerker) zich bij derden voordoen als jou (deze eventueel onmiddellijk doorsturend), met de gegevens die jij nu verstrekt? (Zie bijvoorbeeld https://security.nl/posting/789279).

6) Hoe weet "de andere kant" dat al die persoonsgegevens daadwerkelijk van jou zijn, en niet van iemand die zich digitaal voordoet als jou? Nb. spraak is al eenvoudig te vervalsen met AI (https://security.nl/posting/787196), ongetwijfeld geldt dat binnenkort ook (wellicht nu al) voor filmpjes met poses/bewegingen op verzoek - maar zie ook punt 5 (waarbij geen AI nodig is - immers JIJ maakt echt dat filmpje).

7) Hoe lang worden jouw gegevens bewaard en met welk doel?

8) Hoe zijn jouw aldaar opgeslagen gegevens beveiligd?

9) Met wie worden jouw gegevens gedeeld, heb jij daar wat over te zeggen en zo niet, word jij dan überhaupt geïnformeerd over wat er met wie wordt gedeeld (zodat je bij die organisatie een verwijderverzoek kunt indienen)? Waarbij 1..9 (recursief) opnieuw gelden.

Hoe betrouwbaarder jouw persoonsgegevens, hoe meer daarvan en hoe meer richting uniek identificerend de combinatie daarvan is, hoe groter jouw risico als jij die gegevens digitaal deelt (vanzelfsprekend verliesvrij).

Immers, het feit dat jij digitale persoonsgegevens (ook digitaal gesigneerde) van persoon X kunt verstrekken, garandeert niet dat jij persoon X bent. Want zodra jij jouw gegevens hebt verstrekt, kan de ontvanger (als een "Attacker in the Middle") die gegevens verstrekken aan een derde partij.

Ik moet nog zien waarom online digitaal authenticeren veel betrouwbaarder zou zijn dan het opsturen van een scan van een identiteitsbewijs (zie ook wat ik schreef in https://security.nl/posting/788021). Sterker, met digitaal ondertekende persoonsgegevens online "authenticeren" zou de mogelijkheden voor identiteitsfraude wel eens flink kunnen vergroten, vooral als het vertrouwen hierin onterecht hoog is.

Alleen als je op de juiste website van de verifiërende partij zit en deze redelijkerwijs voldoende betrouwbaar is (o.a. geen foute medewerkers, beveiliging op orde, niet deelt met derden, meteen zoveel mogelijk gegevens vernietigt) en er geen valse verwachtingen worden gewekt voor "ouder dan" aantonen, en de gebruikte client-devices voldoende betrouwbaar zijn (dus niet zo: https://security.nl/posting/788827) zou online digitaal authenticeren mogelijk redelijk kunnen werken. Maar die voorwaarden zijn, in elk geval op dit moment, een illusie.
15-03-2023, 07:29 door Anoniem
Google vraagt ook nog steeds naar mijn verjaardag.
In de hoop dat je een keer toegeeft aan het gezeur.

Ik heb nog steeds daar een account onder de naam van mijn avatar.

Wie borgt mijn anonimiteit, als ik het niet zelf doe?
Tenminste zover als dat nog gaat.

Met de CBDC is het over en sluiten.
Heeft Big Brother eindelijk gewonnen.
15-03-2023, 07:35 door Anoniem
Door Anoniem: EFF moet ff beter nadenken voordat ze brullen. Nog nooit van IRMA gehoord zeker?

Je kunt wel veilig en met privacy je leeftijd delen. Dat is helemaal geen issue.
Los van wat Erik allemaal aankaart: dit werkt alleen als degene die bijvoorbeeld iemands leeftijd wil controleren daar zelf IRMA/Yivi voor gebruikt. Hoe groot is de kans dat je dat aantreft? Ik heb een paar online drankwinkels bekeken en die laten je allemaal verklaren dat je 18+ bent zonder Yivi daarbij te gebruiken. Het is pas helemaal geen issue als het overal ondersteund wordt. Dat is in de verste verte niet zo; het is dus wel een issue.

En dat is in Nederland. IRMA/Yivi is een Nederlands initiatief. Als het binnen Nederland al meestal niet gebruikt wordt, hoe zit dat in de VS, waar EFF zit? Moet EFF negeren dat het in de VS helemaal niet gebruikt wordt en negeren dat leeftijdsverificatie die wel wordt toegepast in de praktijk wel degelijk issues heeft?

Je moet zelf effe beter nadenken voor je begint te brullen. ;-)
15-03-2023, 10:15 door Anoniem
Door Anoniem: EFF moet ff beter nadenken voordat ze brullen. Nog nooit van IRMA gehoord zeker?

Ik dacht ook gelijk aan IRMA, maar meer t.a.v. de privacy. Niet vanwege de (on)mogelijkheid om een website te bezoeken als je dat niet zou mogen. Net als de CC verificatie is het heel eenvoudig mogelijk om die te vervalsen. Er zijn genoeg gezinnen waar de kinderen eenvoudig de telefoons van hun ouders gebruiken. Dus ook heel eenvoudig de daarom geinstalleerde IRMA kunnen misbruiken.

Peter
15-03-2023, 10:47 door Anoniem
Hadden we niet ooit small data devices?

Zo van ... ben ik 18 of ouder -> ja of nee ? Dat is toch veel handiger ...

Die zie ik nergens meer worden gebruikt. Zijn die er nog wel.

Ze hebben alleen de big data overgehouden blijkbaar
15-03-2023, 11:02 door Erik van Straten
Door Anoniem:
Door Anoniem: Nog nooit van IRMA gehoord zeker?
Het is pas helemaal geen issue als het overal ondersteund wordt.
"Als het overal ondersteund wordt" is IRMA/Yivi/eID nog steeds idioterie; steekhoudende argumenten tegen mijn stellingen in https://security.nl/posting/789370 hierboven zie ik graag tegemoet.

Tegelijkertijd lokt dit plan identiteitsfraude uit met pakkans nul, met het risico dat opgroeiende mensen dit later ook "normaal" (acceptabel) vinden, Ten slotte is het een fikse een inbreuk op de privacy van iedereen die online moet aantonen ergens oud genoeg voor te zijn.

Maar op dit punt heeft de EFF boter op haar hoofd omdat zij Let's Encrypt steunen.
15-03-2023, 12:07 door Anoniem
Ik zie wel degelijk positieve toepassingen voor iets als IRMA.
Alleen maar het attribuut afgeven dat nodig voor de betreffende zakelijke handeling.
En inderdaad kan dat bij drankenhandel (webshop) het attribuut [ouder dan 18 jaar] zijn.
En dan heb je inderdaad een aantal problemen op te lossen.

Probleem 1: hoe absoluut moet het bewijs zijn.
Dat lijkt me afhankelijk van de toepassing.
Bij de drankhandel webshop hoeft dit zeker niet een absoluut bewijs te zijn. De drankhandel webshop zal alleen willen kunnen aantonen dat de controle is uitgevoerd (dat daarom de verkoop is gedaan aan iemand die met beperkte zekerheid ouder is dan 18 jaar). Het gaat de wetgever namelijk om te voorkomen dat er 'grote' drankproblemen ontstaan.
Dus als een jonger iemand drank koopt met iemand anders attribuut, dan is dat niet het probleem van de drankhandel webshop. Ook ik liet vroeger wel eens een ander iets voor me kopen.

Probleem 2: welke autoriteit kan het betreffende attribuut aan de persoon koppelen?
Ook dat is afhankelijk van de toepassing.
Een [ouder dan 18 jaar] attribuut zou kunnen worden aangereikt door de gemeente (die daarvoor dan moet worden ingericht)
Maar het zou ook de ouder kunnen zijn van de minderjarige.
Voor een rijbewijs zou dat het CBR kunnen zijn.
Voor een bloedgroep zal je dat zelf kunnen zijn, of jouw huisarts
Voor een medicijn zou dat de apotheker kunnen zijn
enz enz.

Probleem 3: hoe schaalbaar kan je zoiets maken?
IRMA is redelijk klein. Daar zal de drankhandel webshop wellicht nooit van gehoord hebben.
De EU Wallet is juist wel geschikt voor zo iets (nadeel komt straks)
Als iets een (Europese) wettelijk erkende implementatie wordt, dan wordt het ook aantrekkelijker voor de samenleving om een dergelijk systeem/bewijs te accepteren.

Probleem 4: scopecreep.
Bovenstaande gaat over hoe je attributen mogelijk maakt.
De mogelijkheid zal heel veel mensen helpen om hun gegevens of bewijs van .... heel selectief af te geven. Voor velen zal dit helpend zijn hun zaken over internet te regelen (wat vooral van belang is om verre reizen te voorkomen, zoals inschrijven op een buitenlandse universiteit, etc, etc)
Tegelijkertijd dreigt hier het gevaar van overregulering en dwang.
Voor sommigen is zo'n mogelijkheid een nachtmerrie. Het kan zelfs leiden tot dictatuur, ondermijning van de samenleving, etc. Ik denk dat dit precis het grootste probleem is.
Daarom moet het mogelijk blijven om HELEMAAL NIET mee te doen met zo'n ontwikkeling.
Omdat veel organisaties alléén maar aan eigen voordeel denken (en hun zaak zo inrichten), moet er juist een wettelijke waarborg zijn dat ook de analoge/fysieke manier van werken beschikbaar blijft. Dat elk individu (de vrije mens) zaken kan doe zonder deze attributen.

Zo zijn er best nog wel meer problemen te identificeren.


Overigens is het een utopie om te denken dat wij in Nederland of wij in Europa ons aan dergelijke ontwikkelingen kunnen onttrekken. Dat zie je al aan de dwang van de techreuzen. Dat zie ook aan de dwang van financiele sector.
Of het nu de gevaren van AI is, of het nu de gevaren van bewapende drones is, etc. Als er een ontwikkeling is, dan is die niet te stoppen. Dan is die wel te reguleren.
Kijk ook naar de gedweeë acceptatie door het grootste deel van Nederlanders.
Volgens mij kan je de negatieve gevolgen alleen maar bestrijden door goede wetgeving. Dus wanneer moet je, wanneer mag je, wanneer mag het niet, welke vrijheid blijft eenieder houden.


En zo zijn er natuurlijk
15-03-2023, 14:56 door Erik van Straten - Bijgewerkt: 15-03-2023, 15:01
Opnieuw veel drogredenen, wishful thinking en geen argumenten tegen mijn eerdere stellingen (waaronder AitM) in https://security.nl/posting/789370.

Door Anoniem: Ik zie wel degelijk positieve toepassingen voor iets als IRMA.
Alleen maar het attribuut afgeven dat nodig voor de betreffende zakelijke handeling.
En inderdaad kan dat bij drankenhandel (webshop) het attribuut [ouder dan 18 jaar] zijn.
Probleem 0: het doel is niet dat 18+ online wél alcoholhoudende drank kan blijven kopen (zoals nu, daar verandert niks aan), maar dat 17- online géén drank meer kan kopen.

Probleem 0: gesuggereerde oplossing is magical thinking.

Door Anoniem: Probleem 1: hoe absoluut moet het bewijs zijn.
[...]
Dus als een jonger iemand drank koopt met iemand anders attribuut, dan is dat niet het probleem van de drankhandel webshop.
Als je als minderjarige online drank bestelt kun je te maken krijgen met 2 controles:

a) Tijdens afleveren. Dat is al jaren een grote flop, zie onderin https://security.nl/posting/788204.

b) Tijdens het bestellen. Indien je te jong bent: zodra er een online leeftijdscheck plaatsvindt, zul je je dus moeten voordoen als iemand die wél oud genoeg is. Zie mijn tip onderin https://security.nl/posting/788204. Daarnaast zullen er diensten komen waarmee je je, bijv. middels een proxy-app, kunt voordoen als een oud "genoege" identiteitsezel of een niet-wetend persoon met een gehackte smartphone.

Probleem 1: onoplosbaar voor wat betreft b), en ik zie geen enkele aanleiding om aan te nemen dat a) ooit significant verbetert.

Door Anoniem: Probleem 2: welke autoriteit kan het betreffende attribuut aan de persoon koppelen?
Dit zal een TTP (Trusted Third Party) moeten zijn. Dit is niet persé een probleem, want voor de Europese "ID-Wallet" (eID) en Europese digitale rijbewijs gaat de overheid dat doen. Bij het digitale rijbewijs is sprake van een ITTP (Insufficiently-) indien dat inderdaad online kan worden aangevraagd en ingelezen. Hoe dat bij de "ID-Wallet" zal gaan, zullen we moeten afwachten.

Ook is het de vraag wat er moet gebeuren als een smartphone, met daarop één of meer identiteitsbewijzen, gestolen wordt of gehacked blijkt, naast hoe je jouw digitale ID eenvoudig van je oude op je nieuwe smartphone overzet en hoe je tegelijkertijd voorkómt dat een crimineel jouw digitale ID eenvoudig van jouw smartphone op de hare/zijne overzet.

Probleem 2: nog onopgelost en online onoplosbaar.

Door Anoniem: Probleem 3: hoe schaalbaar kan je zoiets maken?[...]
De EU Wallet is juist wel geschikt voor zo iets (nadeel komt straks)
Als iets een (Europese) wettelijk erkende implementatie wordt, dan wordt het ook aantrekkelijker voor de samenleving om een dergelijk systeem/bewijs te accepteren.

Probleem 3: onzinnige oplossing waarschijnlijk binnenkort door DataGraaiers en NietVerderDanDeEigenNeusKijkers met gejuich ontvangen en vervolgens bij de rest van de bevolking door de strot gedouwd.

Door Anoniem: Probleem 4: scopecreep.
Nu al vraagt nagenoeg elke online dienst om veel meer (persoons-) gegevens dan strikt noodzakelijk en niemand die daarop handhaafd. Op dit moment kun je meestal nog liegen dat je op 29-02-1900 geboren bent (nee die datum bestaat niet) maar de bedoeling is dat eerlijke mensen straks nergens meer over kunnen liegen.
Probleem 4: onoplosbaar met nagenoeg gegarandeerde problemen.

Door Anoniem: Daarom moet het mogelijk blijven om HELEMAAL NIET mee te doen met zo'n ontwikkeling.
Probleem 5: je kunt er natuurlijk op hopen dat het bankfiliaal in de buurt blijft bestaan, medewerkers van vlees en bloed (met verstand van zaken) binnen een redelijke wachttijd de telefoon blijven opnemen, je binnen enkele werkdagen een spaarrekening voor je pasgeboren baby kunt openen (https://www.bnnvara.nl/kassa/artikelen/belbus-een-kinderrekening-openen-bij-de-ing-is-geen-kinderspel) of dat acceptgirokaarten blijven bestaan, maar ook dat blijkt vergeefs.

Nog lastiger is: zodra jij bij gall.nl moet aantonen 18+ te zijn, hoe ga jij dat dan bewijzen zonder zo'n Europese "ID wallet"? Als jij niet zo'n app wilt gebruiken, gaan er steeds meer digitale deuren dicht voor jou.

Door Anoniem: Omdat veel organisaties alléén maar aan eigen voordeel denken (en hun zaak zo inrichten), moet er juist een wettelijke waarborg zijn dat ook de analoge/fysieke manier van werken beschikbaar blijft. Dat elk individu (de vrije mens) zaken kan doe zonder deze attributen.
Ah, jij denkt dat als niemand verhindert dat bankfilialen sluiten, er wel massale demonstraties komen zodra fysieke Gall&Gall winkels verdwijnen?

Probleem 5: onoplosbaar.

Voor meer onoplosbare problemen zie https://security.nl/posting/789370.
17-03-2023, 09:04 door Anoniem
Beste Eric,

Ik ben wat laat met reactie. Ik had even niet de mogelijkheid. Nu wel.

Op de keper beschouwd heb je gelijk met heel veel argumenten.
Ook ik zie dat techniek niet alles oplost.
- Ook ik zie dat mensen de controles kunnen omzeilen.
- En ook ik zie dat de technologie te misbruiken is door sujetten die niet nadenken of juist bewust heel slechte dingen willen doen.
- En ook ik zie dat te ver doorgevoerde 'goedbedoelde' doelstellingen leiden tot een scopecreep die de vrijheid van mensen ondermijnt.

Ik denk dat jouw gezichtpunt is:
- dit soort digitalisering leidt tot onterecht vertrouwen
- dit soort digitalisering leidt tot digidwang
- digidwang leidt tot onvrijheid van mensen
- dit moet ten koste van alles worden vermeden
- daarom al dit soort digitalisering bestrijden

Mijn gezichtspunt is
- meestal is een absoluut vertrouwen niet nodig (soms wel)
- dit soort digitalisering zal veel mensen helpen
- dit soort digitalisering leidt tot digidwang
- digidwang leidt tot onvrijheid van mensen
- dit moet ten koste van alles worden vermeden
- daarom moet er wetgeving komen waardoor mensen kunnen ontsnappen aan die digidwang.

De goede vragen:
- hoe kan de digitalisering zo worden gemaakt dat het de samenleving helpt en niet opsluit?
- Is dit ook wat we (democratie) willen?
- hoe kan worden voorkomen dat (vaak goedbedoelde) scopecreep plaats vind
- hoe kan worden voorkomen dat de bewust bekwame organisaties de digitalisering misbruiken (vanuit hun perspectief 'goed gebruiken', maar vanuit mijn perspectief 'ten koste van privacy en vrijheden')

en daarna komen natuurlijk tal van verdiepingsvragen.
18-03-2023, 16:47 door Erik van Straten
Door Anoniem: - hoe kan de digitalisering zo worden gemaakt dat het de samenleving helpt
De meeste digitalisering helpt de samenleving. We moeten alleen wel onze hersens blijven gebruiken en op onze hoede blijven voor verkopers van Haarlemmerolie, ik geef enkele voorbeelden:

1) Het doel van leeftijdsverificatie is het verhinderen dat mensen jonger dan een bepaalde leeftijd "ergens bij kunnen". Simpelweg omdat het juist de doelgroep is die het daar niet mee eens is (en verkopers willen verkopen), zullen zij zoeken naar manieren om maatregelen te omzeilen. Om het gegeven doel deels te bereiken (tegen de wil in van jouw doelgroep) is het noodzakelijk dat iedereen live door de "verkoper" bekeken wordt, en bij twijfel of de "koper" oud genoeg is, de "koper" middels een betrouwbaar identiteitsbewijs aantoont oud genoeg te zijn. Dat is alleen betrouwbaar indien:

• De "verkoper" de leeftijdsregels belangrijker vindt dan verkopen (dit is nu zelden het geval bij online bestellingen);

• De "verkoper" grondig checkt of er niet is gerommeld met het getoonde identiteitsbewijs (daar zijn de meeste "verkopers" niet voor opgeleid, tijd is geld en afkeuren is niet in hun belang);

• De "verkoper" zorgvuldig checkt dat het identiteitsbewijs van de persoon vóór haar/hem is;

• De "verkoper" vaststelt dat de leeftijd, af te leiden uit de geboortedatum op het identiteitsbewijs, hoog genoeg is.

M.a.w. zelfs live "is oud genoeg" vaststellen is al knap lastig.

Daarentegen, online (op afstand): het feit dat een kennelijke "koper" X over een apparaat beschikt dat een (door de overheid digitaal ondertekende) leeftijd van persoon Y opstuurt, is geen bewijs dat X dezelfde persoon is als Y. Reden: X doet dat heus niet als hij of zij te jong is (want dat is zinloos bij een fatsoenlijke verkoper). Op z'n minst zal de "koper" dus aanvullend bewijs moeten meesturen waarmee de "verkoper" kan vaststellen dat X en Y dezelfde persoon zijn. Zoals een digitaal ondertekende pasfoto van Y plus bewijs dat X te zien is op die pasfoto van Y. En zo komen we bij het volgende punt.

2) Het doel van authenticeren is, in de eerste plaats, verhinderen dat een kwaadwillende zich voor kan doen als jou (of als iemand die door jou vertrouwd wordt, zoals jouw partner). Voorbeeld: er zijn dorpen in Nederland waar men de achterdeur niet op slot doet. Echter, zodra de kans op insluipers als groot genoeg wordt ingeschat, zal men die deur wel op slot gaan doen. Authenticeren is dan rechtmatig beschikken over een passende sleutel en de achterdeur van het slot halen, met als doel dat iedereen die geen passende sleutel heeft, er niet in komt. Dit is vergelijkbaar met online inloggen op een bestaand account.

Anders wordt het als "de verkoper" nog niks van jou weet (jij nog geen account hebt). Als jij, persoon X, je online (op afstand) aanmeldt met een set (door de overheid digitaal ondertekende) digitale persoonsgegevens van persoon Y, heeft die verkoper geen enkele betrouwbare mogelijkheid om vast te stellen dat X dezelfde persoon is als Y. Sterker, de "verkoper" kan zich, met de ontvangen gegevens van Y, richting een andere "verkoper" voordoen als Y.

Kortom, zélfs als mensen hun volledige digitale identiteitsbewijs (zie 2) meesturen (inclusief pasfoto) om online te "bewijzen" dat zij oud genoeg zijn, is dat véél te eenvoudig te omzeilen, omdat je nooit zeker weet dat de opstuurder degene is die beschreven wordt met die persoonsgegevens. En "dankzij" AI wordt online identiteitsfraude met de dag eenvoudiger; het "als bewijs" meesturen van een foto, filmpje of stemgeluid van jezelf (ook met achter jouw hoofd de krant of in de geluidsopname het radio-nieuws van vandaag) kan steeds eenvoudiger gespoofd worden.

Het zijn reeksen bits. Digitale handtekeningen (gezet door een Trusted Third Party zoals de overheid) geven inderdaad behoorlijke zekerheid welke persoon Y daarmee beschreven wordt. Echter, als X deze opstuurt, bewijst dit geenszins dat X gelijk is aan Y. Met kunst en vliegwerk kun je tevens de smartphone van Y authenticeren, maar dan weet je nog niet wie deze in handen heeft (X of Y), noch of daar malware van X op actief is, noch of X een "evil proxy" (AitM) website is die de correcte gegevens van Y voor een ander doel misbruikt, namelijk om op een andere website als zijnde Y te authenticeren.

Daarnaast:

3) Magical thinking dat je kindermisbruik aan kunt pakken door ieders smartphone af te tappen terwijl je weet dat je nu al veel te weinig rechercheurs, OM-personeel en rechters hebt om vast te stellen dat het om een misdrijf gaat, naast dat je onvoldoende cellen hebt om al die mensen op te sluiten (voor zover dat zin heeft, en hoe lang zouden deze "kijkers" opgesloten moeten worden). Nog los van het feit dat je met deze symptoombestrijding vooral (in theorie) "kijkers", maar zeker niet alle plegers van kindermisbruik opspoort - en dat dezelfde techniek (in Europa, maar meer nog daarbuiten) voor allerlei andere soorten surveillance kan worden misbruikt.

4) Almaar grotere verzamelingen persoonsgegevens gecombineerd met andere vertrouwelijke informatie zonder bijpassende beveiligingsmaatregelen; "de kat op het spek binden".

Digitalisering is écht niet alleen een vloek, maar we moeten de mogelijkheden ervan niet zo enorm overschatten en de risico's redelijkerwijs mitigeren. En het helpt allesbehalve als niet-begrijpers meelullen met verkopers van Haarlemmerolie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.