Door Anoniem: Door Erik van Straten: [..]
Je kan al zolang bij de fotograaf jouw pasfoto meteen laten doorsturen voor rijbewijs en daarbhoor je niemand over.
De uitgevende ambtenaar checkt nu, bij de uitgifte van het identiteitsbewijs, of jij het bent die op de foto staat.
De check is bij het inleveren van pasfoto en aanvraag - en deze schakel is recentelijk en met enige regelmaat de zwakkere schakel gebleken. Met juiste afhaalbewijs en oude paspoort ben ik geloof ik niet zo heel strak bekeken bij het ophalen .
(corruptie , familie helpen, of intimidatie)
Die check verdwijnt niet, totdat er wordt overgestapt op het -m.i. onzalige- RIDP (Remote IDentity Proofing) met alle hoop gevestigd op VideoIdent (zie {2} verderop).
Door Anoniem: Maar zoals je vaker doet - je gaat er weer van alles bijhalen wat niks te maken heeft met vraag wat er verbeterd (of niet) als de pasfoto digitaal gemaakt wordt.
(en - neem ik aan : ter plaatse van de aanvrager . Dat is wat Belgie gaat doen, tot ongenoegen van de pasfotografen )
M.i. is het verbeterplan dat de amtenaar - gesteund door computer - niet meer de kans (of bevoegdheid) heeft om een twijfelachtige (als in : komt niet echt overeen met de aanvrager) foto te accepteren.
Ik ben het met je eens dat het waarschijnlijk beter is als de foto (of t.z.t. filmpje, of een andere manier om een hoofd rondom vast te leggen, inclusief de oren, en wellicht (Röntgen) foto van het gebit) ter plaatse van de uitgifte van het identiteitsbewijs gemaakt wordt; dan kunnen de aanvrager en/of de externe fotograaf
dat beeldmateriaal niet meer achteraf manipuleren en kan de aanvrager niet met een oude pasfoto aankomen.
Maar dit biedt geen garantie dat het op de plek van aanvraag allemaal goed gaat; criminelen kunnen veel geld overhebben voor een vals paspoort.
Vervolgens is het de vraag hoeveel bewijs de ambtenaar en/of computers hebben dat de afgebeelde persoon en de opgegeven tekstueel persoonsidentificerende gegevens bij elkaar horen, vooral als de aanvrager (eerder) heeft aangegeven dat diens oude identiteitsbewijs is gestolen of op andere wijze verloren is gegaan.
Door Anoniem: Typische technerd : reeel bestaand probleem negeren want speculeren over verzonnen toekomstig probleem ?En dan praten over 'liegen' als het gaat om een verbetering ?
"technerd"? Niet ik kom met techniek als oplossing.
Door Erik van Straten: Ik denk eigenlijk dat de _betrapte_ foute ambtenaren die aanvragen voor andere personen accepteren best een topje van de ijsberg zijn.
Loop 's langs de balie burgerzaken in een grotere stad en kijk en bedenk dat achter elk loketje de ENIGE schakel zit die garandeert dat de aanvrager , de personalia en de foto overeenkomen.
Vertel me eens hoeveel betrouwbaarheid dat moet geven ?
Sure, zolang ze nog niet betrapt zijn zal de VoG wel schoon zijn.
Daar zijn allerlei oplossingen voor te bedenken, maar uiteindelijk zullen, bij twijfel of vermoedens, één of meer mensen een knoop moeten doorhakken. Programmeurs (en AI) kunnen onmogelijk alle situaties voorspellen (en die in software betrouwbaar pareren) die kunnen optreden (zoals littekens na verbranding, tattoos, kunstoog etc).
Door Erik van Straten: knip lang verhaal over _gebruik_ van authenticatie dat helemaal los staat van het aanvragen van een authenticatie middel, en de uitdaging om dat betrouwbaar te koppelen aan de juiste persoon.
Dat staat beslist niet "helemaal los van elkaar". De
minimaal vereiste betrouwbaarheid van
het uitgifteproces van een authenticatiemiddel wordt bepaald door de vereiste betrouwbaarheid bij
élk potentieel gebruik van een authenticatiemiddel, in twee scenario's:
a) Iemand claimt
wél degene te zijn, beschreven door een getoond identiteitsbewijs, terwijl dat mogelijk
niet klopt;
b) Iemand claimt
niet degene te zijn, beschreven door een (vaak eerder) getoond identiteitsbewijs, terwijl die persoon dat mogelijk
wél is of was.
Daarnaast willen EC-lobbyisten dat in 2030 ongeveer 80% van de EU-burgers regelmatig online digitaal "absoluut" authenticeert - absoluut in de zin van met de gegevens die op een (door de overheid uitgegeven) identiteitsbewijs te vinden zijn. Uit de PDF, te vinden in {4} verderop:
The upcoming elDAS 2.0 regulation and the introduction of the EUDIW, with the ambition that 80 % of EU citizens will make regular use of the wallet by 2030, will extend the cases requiring identity verification with a high level assurance.
Terzijde, ergens inloggen -wat ik
relatief authenticeren noem-, is gebaseerd op wederzijdse TOFU (Trust On First Use): de account-aanvrager vertrouwt erop dat de eigenaar van de server is wie deze zegt te zijn en betrouwbaar is, en die eigenaar vertrouwt erop dat de account-aanvrager naar waarheid alle door de server vereiste gegevens invult. Een wachtwoord en/of een ander "shared secret" of een afgeleide daarvan (zoals een van een private key afgeleide public key) moet, elke keer bij inloggen, redelijkerwijs voldoende bewijs leveren dat het om
dezelfde persoon gaat als de oorspronkelijke account-aanvrager. Effectief zijn alle op een legitimatiebewijs vermelde tekstuele gegevens ook maar door mensen bedachte pseudoniemen, maar beter dan dat doen we nog niet (we slaan nog geen DNA-materiaal op in paspoorten, en zelfs dáár zou mee gesjoemeld kunnen worden).
M.b.t. online aanvragen van (fysieke of digitale) legitimatiebewijzen: lees bijvoorbeeld (bekijk in elk geval 4, het laatste document voor zover ik weet):
{1} (Duitstalig)
https://www.heise.de/news/Videoident-BSI-und-ANSSI-wollen-besser-geschuetzte-Verfahren-9580580.html vanaf "Identitätsdiebstahl";
{2} De Engelstalige PDF waar naar verwezen wordt die je hier kunt vinden:
https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/ANSSI-BSI-joint-releases/ANSSI-BSI_joint-release_2023.html en waarin AitM/MitM aanvallen niet eens worden benoemd;
{3} (Duitstalig)
https://www.heise.de/hintergrund/Auslegungssache-99-eIDAS-und-die-Folgen-9573994.html;
{4} "Remote ID Proofing - Good practices" van 12 maart 2024, PDF te vinden in
https://www.enisa.europa.eu/publications/remote-id-proofing-good-practices waarin MitM (Man in the Middle) wel wordt genoemd maar waar geen oplossing voor wordt beschreven.
Authenticatie is zo sterk als de zwakste schakel. En online zijn er
véél méér schakels, waaronder zeer zwakke.