Managed hosting door True

Prinsjesdag 2013

Overheid gaat DigiD zwaarder beveiligen

Het identificatiesysteem DigiD dat nodig is om toegang te krijgen tot bepaalde sites van de overheid, wordt zwaarder beveiligd. In voorbereiding is een voorstel voor een DigiD-kaart. De huidige beveiliging met wachtwoord of sms-code is te kwetsbaar. Dit werd op Prinsjesdag 2013 bekend gemaakt.

Uit de begroting van Binnenlandse Zaken blijkt dat de DigiD-kaart ook als pasje voor gebruik buiten de overheid geschikt moet zijn. Gewerkt wordt aan landelijke afspraken waarbinnen diverse identificatiemiddelen worden ingezet bij de elektronische dienstverlening. In ontwikkeling zijn voorzieningen waarmee burgers zelf identiteitsfraude kunnen tegengaan. Het wordt mogelijk de geldigheid van identiteitspapieren van anderen te verifiëren en de eigen identiteitsdocumenten bij diefstal of verlies te blokkeren.

eID

Overigens verkeren de plannen voor een DigiD-kaart in een vroeg stadium. Details over de werking zijn nog niet bekend gemaakt. Volgend jaar worden de voorbereidingen getroffen waarna een besluit moet vallen. Als het doorgaat, moet de uitrol in de periode 2015 tot en met 2017 plaatsvinden. De invoering van een elektronisch identificatiestelsel (eID) en een daarbij horend eID-middel vergt een lange voorbereiding. Dat geldt zeker als het pasje ook buiten de overheid wordt gebruikt.

DigiD werd de afgelopen tijd meermalen geplaagd door storingen. Onder meer een beveiligingslek en een DDoS-aanval legden het systeem plat.

Dit artikel delen:

Nederland ICT vreest meer ICT-mislukkingen

EZ trekt 75 miljoen euro uit voor innovatie in MKB

Kabinet versoepelt voorwaarden WBSO

BZK waarschuwt voor hengelen bij DigiD

King maakt afspraken over DigiD-assessment

DigiD doorstaat Digistorm

‘Maatwerksoftware deed DigiD de das om’

Logius haalt DigiD offline na lek in Ruby on Rails

Atos migreert nieuwe DigiD als 'big bang'

Rijksoverheid neemt DigiD 4.1 in gebruik

NCSC wijst Logius op lek in DigiD-server

Digidentity start met 'Standby certificaten'

Geen DigiD voor overheden met onveilige ICT

Ombudsman laakt beveiliging DigiD

Siemens en Digidentity ontwikkelen DigiD door

ICTU en Logius gaan nieuw DigiD bouwen

Siemens werkt samen met Digidentity

Storing DigiD is opgelost

Nederland ICT bezorgd over opvolger DigiD

SIMgroep slaagt voor DigiD-audit EY

VKA keurt DigiD-security Exxellence goed

‘Veel gemeenten in 2014 onbereikbaar via DigiD’

Nederland investeert meer in R&D en innovatie

GDI gaat op in Shared Service Center ICT

Defensie richt versneld cyberdivisie DCC op

Ministerie breidt Team High Tech Crime verder uit


Reacties

Zover ik weet waren er al sinds de introductie van DigiD plannen om identificatie via een token/pas mogelijk te maken. Dit was echter een beveiliging op een hoger niveau, nodig voor bijvoorbeeld het raadplegen van medische gegevens.
Mij is niet duidelijk of deze niveau's worden losgelaten en deze identificatie via een token de andere manieren gaat vervangen. Hoe zit dit?

Let allen wel even op dat dit een extreem duidelijke indicatie is dat het DigiD of eID het doel is op een online digitaal paspoort uit te komen. Vraag je daarbij maar eens af of dat iets is wat je écht wil.

DigiD met een extra Token is niet een zwaardere beveiliging, alleen een andere beveiliging. Een Token helpt echt niet tegen DDoS-aanvallen, en aangezien DigiD nog steeds RSA Asymetrische encryptie en RC4 Symmetrische encryptie gebruikt (zie http://nl.wikipedia.org/wiki/RC4_(encryptie) voor de 'known issues' ) is het wellicht aan te raden dat DigiD eens overstapt op Elliptic Curve (ECC) en AES met SHA-256 of hogere hashing. Dan heb je echt zwaardere encryptie (zij het niet dat je met een oud OS dan niet meer bij DigiD kan).

Als men echt met een Token (Smartcard) aan de slag wil, wat op zich niet verkeerd is, wie gaat dan de Card Readers voor thuisgebruik betalen ? En gaat men dan gebryuik maken van open standaarden, of ook weer met een lokale, nederlandse partij (net als bij de Zorgpassen) in zee...

En Johan, je online identiteit is al op zoveel plaatsen bekend, een online paspoort zoals je het noemt maakt dan ook niet veel meer uit. Mits goed versleuteld, verspreid opgeslagen en niet achterhaalbaar.

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.