10/5/2011

1

Digitale identiteiten: vertrouwen,

identity providers en de toekomst

Maarten Wegdam

4 oktober 2011

www.novay.nl | maarten.wegdam@novay.nl |

053-4850414 | @maartenwegdam |

http://maarten.wegdam.name (blog) |

http://www.linkedin.com/in/wegdam 2

3

4

[TC Tubantia, 24 sept 2011]

DigiNotar &

5 6

10/5/2011

2

7

EU digitale agenda

8

• “Elektronische-identiteitstechnologieën (e-ID) en

authenticatiediensten zijn van essentieel belang voor

internettransacties in de particuliere en de openbare

sector.”

• “Intussen blijft het gebrek aan vertrouwen in de online

omgeving de ontwikkeling van de Europese online

economie een spaak in het wiel steken.”

Thuiswinkel.org

9

“een goede identificatie moet meer

gemak en minder fraude opleveren”

10

privacy

veiligheid

kosten

gemak

€

Gebruiker centraal door hergebruik identiteiten

11

gebruiker

identity

provider

relying party relying party gebruiker

Voorbeeld: gemak

kosten

veiligheid (?)

privacy ?

Waarom nog geen identity providers?

12

gebrek

vertrouwen in

identiteits-

provider

privacy

uitdaging

market entry

uitdaging

10/5/2011

3

Overheid versus privaat

13

Overheidstaak

Overheids gereguleerd trust framework

Markt gereguleerd trust framework

Vrije markt (tech standard)

OpenIDplus.nl

Trust framework/ afsprakenstelsels

Meer vertrouwen en een gezond ecosysteem

• Nieuwe identity providers kunnen toetreden

• Dienstenaanbieders kunnen makkelijk gebruik maken van

alle identity providers (schaalbaarheid)

• Balanceren van belangen van identity providers,

dienstenaanbieders en gebruikers

• Privacy afspraken

• Governance / audits

14

Afspraken waar alle spelers zich

aan moeten houden

15

een visie voor een betrouwbare en

herbruikbare consumenten identiteit

http://cidsafe.novay.nl

Succes criteria consumenten/burger identiteiten

16

Frequent gebruik

Voor privaat EN publieke diensten

Betrekken banken

Overheids governance

Makkelijke toegang relying parties

Makkelijk voor eindgebruiker

Hoge dekkingsgraad gebruikers

gebaseerd op use cases study in DK,BE.DE,NO,SE,EE,US in 2010

Overheid vs private identity providers

17

vertrouwen

in identiteits-

provider

privacy market

entry

neutraal,

vertrouwd

1 grote big

brother

dekkings-

graad

?

cultureel keuze

kip-ei,

business

model

overheids

oplossing

private

trust

framework

other

?

internationa

lisering

innovatief

Een perspectief op

DigiD: good enough security

18

Relatief een succes: toenemend aantal users (9M) en toenemend gebruik per user (>4/j)

Minder veilig, maar meer gebruikt dan buurlanden

Phishing gevoelig, maar fraude lijkt met name aan registratie/proces kant te zitten

Bij kwetsbaarheden in de pers gaat het vaak om autorisatie of andere problemen bij de overheidsdienstverleners (reputatie!!)

DigiD steeds aantrekkelijker als target, en doorlooptijd veiliger maken is erg lang: veiliger maken is urgent (eNIK)

10/5/2011

4

Een perspectief op

Overheids vs privaat in NL

Voor B2G: eHerkenning is ok, nu opschalen

Impasse rondom C2B

19

@overheid: wees voorspelbaar en doe het, faciliteer het of beloof niks te doen

@relying parties: beloof een markt

@private identity providers: wees een ondernemer

Part 2

Drie innovaties voor de toekomst

van digitale identiteiten

20

Drie innovaties belangrijk(er) worden

21

Gebruiker controle over haar data

Mobile-centric identity

Context-enhanced authentication & authorization

CON

TEXT

Privacy & controle over data

22

Anders: gebruiker in controle

inzicht keuze

Als het kan: voorkomen

data minimalisatie privacy-enhancing

technologies

privacy functionality

Gebruiker in control

23

Privacy attitude

Begrij-pelijk fundamentalists

pragmatists

unconcerned

Consent in SURFfederatie

24

10/5/2011

5

Gebruikers willen consent

25

20%

42%

28%

8%

2% 0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

1 2 3 4 5

The new option is a good add-on to the SURFfederatie (1=absolutely; 5=not at all)

Steeds meer controle

26

simpele consent

machtigen

centrale controle

personal data stores

27

Mobile-centric identity

28

Mobiel als authenticatiemiddel

• Personal device, altijd bij je

• Geen (weinig) additionele hardware kosten

• Tweede (?) kanaal

• Diversiteit telefoon platformen

Authenticatie voor mobiele diensten

• Usability uitdagingen, bv wachtwoorden

• Geen tweede kanaal meer

• NFC & mobile payments (Sixpack/Travik)

Vier types van mobiele authn

29

SMS one-time-passwords

Mobile apps, bv OTP generators of tiQR

SIM-based, bv Mobile PKI

SIM augmented token (sticker)

Mobile apps

30

• Goedkoop

• Alleen voor smartphones, platform issues …

• Bv Versign VIP of

10/5/2011

6

Mobile PKI

31

[M. Oostdijk e.a., Mobile PKI, inloggen en ondertekenen met

je mobiel, PviB juli 2010, Novay & SURFnet] 32

!

SIM contact plate

DP Nanocontact plate

DP Nano chip

Serial number

SIM augmented token (sticker)

[M. Oostdijk, M. Wegdam, Evaluation VASCO Digipass

Nano, Mei 2011, in opdracht van SURFnet]

33

mobile location/context

context-enhanced

authentication & authorization

CON

TEXT

Context-enhanced authenticatie

34

3 4

factoren

weet

bent

context

hebt

CON

TEXT

35

centralisatie authz

authz for the cloud

het nieuwe werken

extended enterprise

mobiel/context

(insider) attacks

+

+

+

+

+

Context-

enhanced

authorization XACML standard

+ onderzoeksproject

met IBM en Rabobank

CON

TEXT Wrap up

36

Bij balans tussen gemak, veiligheid, kosten en privacy: stel gebruiker en vertrouwen centraal

Overheid is een en niet de enige oplossing voor onze digitale identiteiten

Onduidelijkheid opstelling overheid m.b.t. consumenten identiteit vertraagt innovatie

• Gebruiker in controle | Mobiel | Context enhanced

De toekomst van digitale identiteit is

10/5/2011

7

Programma

37

16:30 Welkom & introductie

16:45 Maarten Wegdam, principal researcher Novay

17:30 Hein Aanstoot, directeur SIVI

18:15 Buffet

19:15 Kees Keuzenkamp, plv directeur DRI van MinBZK

20:00 Afsluitende discussie

20:15 Einde

Tuesday November 29th

Professional Innovation

De nieuwste inzichten voor vernieuwing in ICT

gedreven organisaties

Met (onder voorbehoud):

Toby Stuart, Harvard, over de rol van venturing

NLse CIO

Novay

www.everett.nl www.everett.nl IDentity.next’11 – What’s next on Identity?

IDentity.Next’11 ‘What’s next on Identity?’

7AM, 9 November 2011

#idn11

Novay Digital Identity Award 2011

40

Innovatieve concepten of producten

Uitreiking op

Submissie deadline: 11 oktober 2011

http://www.identitynext.eu/award