Wat als we DigiD helemaal niet nodig hebben?

Als het goed is ben je hiernaartoe doorgestuurd via LinkedIn. Deze website is ontworpen om duidelijkheid te krijgen in het proces dat op dit moment gebruikt wordt om nederlandse burgers te identificeren op het internet. Hierdoor kunnen we zien welke gegevens van de burger straks op amerikaanse servers staan.

1. Aanvragen

burgerservicenummer (BSN)
adres waarop u staat ingeschreven bij uw gemeente
(mobiele) telefoon

Na uw aanvraag krijgt u een brief met een activeringscode om uw DigiD te activeren. DigiD stuurt deze brief binnen 5 werkdagen naar het adres waarop u ingeschreven staat in uw gemeente.

2. Activeren

3. Autentificatie

Het komt er dus op neer dat DigiD geen belangrijke gegevens van burgers op hun servers hebben staan, behalve misschien het Burgerservicenummer en het telefoonnummer om de SMS te versturen.

Kan het zonder DigiD?

Maar wat als het eigenlijk helemaal niet nodig is om de paspoortcontrole door een particulier bedrijf te laten doen? Wat als je een eigen digitale versie van je paspoort in handen hebt waarmee je jezelf kunt identificeren bij een willekeurige overheidswebsite?

Dit is niet alleen mogelijk, maar kan worden gedaan met een methode die reeds 31 jaar (sinds 1995) in gebruik is: Transport Layer Security (TLS). TLS is een methode om het verkeer van en naar jouw computer te versleutelen en wordt sinds de HTTPS Everywhere campagne van Google in 2015 tegenwoordig door bijna alle websites gebruikt.

Hoe werkt TLS?

TLS kan worden uitgelegd aan de hand van een analogie, onderstaand afgebeeld. Om een waardevol object naar het konijn te sturen zonder onderweg gestolen te worden zet Alice een slot op de koffer. Het konijn zet bij ontvangst een tweede slot op de koffer en stuurt deze terug. Alice verwijdert haar slot en stuurt de koffer opnieuw naar het konijn. Het konijn verwijdert zijn slot en kan het object uit de koffer halen.

Bron: https://cse.sc.edu/~pfu

In een fysieke context zou dit veel tijd, geld en energie kosten, maar door het digitaal te doen via TLS wordt het een elegante en soliede oplossing. De koffer noemen we de Public Key in termen van TLS. De twee sloten, de Private Key van Alice en de Private Key van het konijn.

Het client-certificaat

Zoals eerder opgemerkt wordt TLS reeds sinds 2015 op alle websites toegepast. Klik voor de gein op het icoon in je web-browser (de app waar je nu in zit). In FireFox is het: . Klik vervolgens Connection is secure en daarna Certificate is valid. Je ziet dan de Public Key van mijn website. Het “geheim” in de koffer is de tekst: identify.boland.nl. Daardoor weet jouw web-browser dat mijn site echt is.

“Hee” hoor ik je nu denken, “Zou dit ook andersom kunnen?” Kan een overheidswebsite bij mij een versleuteld document opvragen waarmee ik mezelf identificeer, net als met mijn fysieke paspoort? Dat kan en het heet mTLS (Mutual TLS). Het “paspoort” in dit geval wordt het Client Certificate genoemd. De methode is een extensie van het TLS protocol en is sinds 1997 in gebruik bij alle web-browsers.

Om te zien of dit echt werkt en hoe verbazingwekkend eenvoudig het eigenlijk is heb ik een expiriment ontworpen. In het grijze boxje, genaamd Het expiriment wordt het uitgelegd. Ik zou het erg op prijs stellen als je meedoet.

Waarom gebruikt de overheid dit niet?

Dat is de hamvraag. Om hier volledig en gedetailleerd (technisch, organisatorisch en juridisch) inzicht in te krijgen heb ik een LLM ingeschakeld. Het resultaat staat in het grijze boxje, getiteld Het orakel. Het komt erop neer dat de nederlandse overheid, samen met de EU, willen al heel lang van af van het centraal afhandelen van identificatie.

De architect

Om de Nationale Intrekkings-Hub architectuur (zie manifest) te realiseren heeft de overheid een speciaal type architect nodig: de tech-minimalist.

De architect is in staat om voortdurend de verleiding te weerstaan de nieuwste snufjes en frameworks te gebruiken waardoor de burger met oudere hardware wordt uitgesloten, maar tegelijkertijd weet zowel jongeren, volwassenen én de overheid voor dit project te blijven enthousiasmeren.

De jongeren (junior developers) bouwen de apps die de client-certificaten aanvragen en installeren voor Windows (Microsoft), iOS (Apple) en Android (Google). Zij leren hoe je met minimalisme soliede applicaties bouwt die geen bugs hebben en altijd op alle besturingssystemen en alle versies onder alle omstandigheden blijven werken.

De volwassenen (senior developers) bouwen de intrekkings-hub. Dit is het meer ‘saaie’ deel van de operatie, maar zij weten hoe je met minimalisme milliseconden af kunt schaven van de tijd die het kost om de intrekkings- en geldigheidscontrole uit te voeren.

De overheid (Logius) krijgt de kans om via een nationale SIRE campagne te laten zien dat ze vooraan in de technologische ontwikkelingen staan, zonder de burger op te zadelen met buggy tech.