Door Anoniem (TheYOSH): Door Erik van Straten (typo gefixed: zijn -> zij): Ons wordt voorgespiegeld dat het doel is dat mensen, die oud genoeg zijn om iets te mogen, aantonen dat zij oud genoeg zijn en dat "het dan goedkomt".
Dus mensen, verdiep u eens in: https://irma.app/ of zoals het nu heet YIVI
Daarmee kun je aantonen dat je 18+ bent, of 21+ bent zonder andere data prijs te geven. Deze toepassingen zijn heel goed te gebruiken.
Precies zoals ik schreef. Verduidelijkt, de voorwaarde om te kunnen krijgen wat jij wilt is dat je oud genoeg bent:
•
Indien je oud genoeg bent, is dat laatste aantonen vanzelfsprekend in jouw belang. Maar als je oud genoeg bent, behoor je niet tot de feitelijke doelgroep. Een open deur intrappen dus.
• Indien je
te jong bent, is dat laatste aantonen
niet in jouw belang - dus dat doet niemand (en de malloot die het wel doet krijgt niet wat zij/hij wil).
• Daar komt bij dat het
primaire belang van elke verkoper is om te verkopen. Wat er in de praktijk gebeurt (als de pakkans verwaarloosbaar is, wat zo is) beschreef ik bij o.a. de Gorilla's onderin in [1].
[1]
https://security.nl/posting/788204Door Anoniem (TheYOSH): En fraude is strafbaar. Dus dat is geen reden om te zeggen dat er geen oplossing is.
Het gaat hier niet over brave jonge mensen die wel iets "stouts" willen, maar accepteren dat zij dat nog niet mogen.
We hebben het dus over jonge mensen
met opgestoken middelvinger die iets willen. Okay, mogelijk overschat een deel van hen de pakkans en strafmaat van circa nul en haakt daarom af (maar, reken je niet rijk; news travels fast). Vooral als het om een verslaving gaat (roken, alcohol, gokken) en/of "erbij willen horen", zijn mensen uiterst creatief, en vooral veel jonge mensen nemen grotere risico's (voor zover hier van toepassing) dan ouderen zouden doen.
Daarbij is notabene IRMA/Yivi ideaal voor identiteitsfraudeurs: met hoe minder identificerende gegevens (naast "ik ben oud genoeg") je "identiteitsfraude" pleegt, hoe kleiner de pakkans. Zie ook mijn tip onderin [1].
Door Anoniem (TheYOSH): Zowel in drank winkels [...]
Een smartphone die jij in jouw handen hebt kan niet aantonen dat jij oud genoeg bent, want daarop kun je laten zien wat je wilt - en bovendien ontbreekt het bewijs dat het
jouw smartphone is. Daarnaast, als het echt
jouw smartphone is, dan wil dat nog niet zeggen dat de IRMA/Yivi/eID gegevens daarop
van jou zijn. Okay, er bestaan manieren om dat toch te kunnen bewijzen:
a) Door tevens jouw identiteitsbewijs te laten zien, zodat de drankverkoper kan checken dat jouw app niet liegt. Maar dan is die app overbodig;
b) Door overdracht van een unieke identifier van jou, zoals jouw Europese burger-("service" voor wie?)-nummer, naar de smartphone van de drankverkoper (bijv. via een door jouw toestel getoonde QR-code). Op basis waarvan de smartphone van de verkoper
jouw pasfoto downloadt (wellicht vanaf pasfotos.rijksoverheid.nl) en toont
op zijn toestel - ter verificatie dat de door jouw geclaimde minimale leeftijd hoort bij het individu met jouw tronie.
Van dat laatste bestaat overigens al een POC, uit
https://security.nl/posting/781207:
Als de virtuele barman haar ID-kaart of wallet vraagt om haar leeftijd te controleren, laat de staatssecretaris een code uit de wallet zien. De barman scant die en ziet gegevens en een foto van Willeke op zijn telefoon verschijnen.
Hier pleegt de staatssecretaris overigens identiteitsfraude - want haar voornaam luidt niet "Willeke", en waarschijnlijk is de foto ook niet van mevrouw van Huffelen.
En nu hebben we m.i. echt een vet probleem: ik ben nog net bereid om mijn identiteitsbewijs te laten zien aan iemand die ik voldoende vertrouw, maar
mijn pasfoto plus unieke identifier (en mogelijk aanvullende persoonsgegevens)
op de smartphone van een verkoper vind ik disproportioneel - en dan ben ik niet eens een "lekker wijf". Het digitaal delen van pasfoto's en unieke Europese burgernummers lijkt mij trouwens ook niet erg in lijn met de filosofie van IRMA/Yivi.
Door Anoniem (TheYOSH): [...] als online. De data staat alleen op JOUW telefoon!
Nee, een kopie van (een deel van) die data moet ook naar de "andere kant". Jouw vragen daarbij zouden moeten zijn:
1) Wie claimt die "andere kant" te zijn?
2) Hoe weet je dat die partij is wie zij claimt te zijn? Is
gall-en-gall.com van wie die domeinnaam suggereert te zijn?
3) Welke persoonsgegevens (plus andere informatie van/over jou) wil de andere kant dat jij met hen deelt en waarom; overvragen zij niet? (Vooral als die partij niet is wie zij claimt te zijn, ligt dit enorm voor de hand).
4) Welke andere persoonsgegevens van jou (plus andere informatie van/over jou) zijn eerder van jou of via een derde partij verkregen en worden nu gecombineerd? Da's SuperSimpel indien bij elke transactie jouw Europese burgernummer wordt meegestuurd.
5) Kan die partij (of een foute medewerker) zich bij derden voordoen als jou (deze eventueel onmiddellijk doorsturend), met de gegevens die jij nu verstrekt? (Zie bijvoorbeeld
https://security.nl/posting/789279).
6) Hoe weet "de andere kant" dat al die persoonsgegevens
daadwerkelijk van jou zijn, en niet van iemand die zich digitaal
voordoet als jou? Nb. spraak is al eenvoudig te vervalsen met AI (
https://security.nl/posting/787196), ongetwijfeld geldt dat binnenkort ook (wellicht nu al) voor filmpjes met poses/bewegingen op verzoek - maar zie ook punt 5 (waarbij geen AI nodig is - immers JIJ maakt echt dat filmpje).
7) Hoe lang worden jouw gegevens bewaard en met welk doel?
8) Hoe zijn jouw aldaar opgeslagen gegevens beveiligd?
9) Met wie worden jouw gegevens gedeeld, heb jij daar wat over te zeggen en zo niet, word jij dan überhaupt geïnformeerd over wat er met wie wordt gedeeld (zodat je bij die organisatie een verwijderverzoek kunt indienen)? Waarbij 1..9 (recursief) opnieuw gelden.
Hoe betrouwbaarder jouw persoonsgegevens, hoe meer daarvan en hoe meer richting uniek identificerend de combinatie daarvan is, hoe groter jouw risico als jij die gegevens digitaal deelt (vanzelfsprekend verliesvrij).
Immers, het feit
dat jij digitale persoonsgegevens (ook digitaal gesigneerde) van persoon X kunt verstrekken, garandeert niet
dat jij persoon X bent. Want zodra jij
jouw gegevens hebt verstrekt, kan de ontvanger (als een "Attacker in the Middle") die gegevens verstrekken aan een derde partij.
Ik moet nog zien waarom online digitaal authenticeren veel betrouwbaarder zou zijn dan het opsturen van een scan van een identiteitsbewijs (zie ook wat ik schreef in
https://security.nl/posting/788021). Sterker, met digitaal ondertekende persoonsgegevens online "authenticeren" zou de mogelijkheden voor identiteitsfraude wel eens flink kunnen vergroten, vooral als het vertrouwen hierin onterecht hoog is.
Alleen als je op de juiste website van de verifiërende partij zit en deze redelijkerwijs voldoende betrouwbaar is (o.a. geen foute medewerkers, beveiliging op orde, niet deelt met derden, meteen zoveel mogelijk gegevens vernietigt) en er geen valse verwachtingen worden gewekt voor "ouder dan" aantonen, en de gebruikte client-devices voldoende betrouwbaar zijn (dus niet zo:
https://security.nl/posting/788827)
zou online digitaal authenticeren mogelijk redelijk kunnen werken. Maar die voorwaarden zijn, in elk geval op dit moment, een illusie.