Waarom een decentrale ID-Wallet belangrijk is
29 augustus 2024 was er een netwerkstoring bij Defensie die leidde tot grote overlast in de Nederlandse maatschappij. Onder andere DigiD, de Brandweer en Eindhoven Airport ondervonden problemen, die hoogstwaarschijnlijk te maken hebben gehad met toegang verlening tot het netwerk.
Dit incident benadrukt het risico van centrale identity en access oplossingen en het effect van een single point of failure en de potentiële verstrekkende gevolgen. Met de komst van decentrale ID-Wallets en de adoptie, die versterkt gaat worden door de EIDAS 2.0 wetgeving, hebben we nu de unieke kans om dit opnieuw en beter in te regelen.
Yivi als decentrale ID-Wallet
Yivi is zo’n ID-Wallet. Het initiatief dat zijn oorsprong vindt bij de Radboud Universiteit kent een decentrale architectuur waarin het verstrekken van gegevens, en het verifiëren van gegevens door autonome actoren gedaan wordt. Elke gebruiker heeft zijn eigen telefoon met daarop de Yivi app geïnstalleerd. Met de Yivi app kunnen gebruikers gegevens inladen in hun telefoon, bijvoorbeeld je NAW-gegevens vanuit de gemeente, of je e-mailadres, telefoonnummer, bankrekeningnummer, verzekeringspolis, enzovoorts. Deze gegevens, ook wel attributen of kaartjes genoemd, worden cryptografisch ondertekend door de verstrekker (issuer) en zijn voor een specifieke periode geldig.
Voordelen van decentrale ID-Wallets voor privacy en veiligheid
De attributen leven uitsluitend op de telefoon van de gebruiker en worden nooit centraal bijvoorbeeld in de cloud opgeslagen. Hierdoor is te allen tijde de privacy van de gebruiker gewaarborgd, immers de gebruiker laadt zelf de kaartjes in zijn telefoon en versterkt deze selectief aan partijen waarmee de gebruiker dat wil.
Elke partij die bewijs van bepaalde gegevens wil hebben verifieerd de cryptografisch ondertekende attributen tegen de gepubliceerde sleutels van de verstrekker. Deze sleutels kunnen gecached worden voor een langere periode. Dit heeft als voordeel dat elke verifier autonoom kan opereren. Wanneer de connectie met het internet eruit ligt maar de telefoon wel verbinding kan maken met bijvoorbeeld een lokale server via het bedrijfsnetwerk dan kan er toch nog, zonder in te boeten op security, geverifieerd worden.
Je kunt je voorstellen dat dit soort oplossingen enorme risico’s kunnen voorkomen. Het is dan ook mooi om te zien dat bijvoorbeeld het Ministerie van Volksgezondheid, Welzijn en Sport in het nieuwe Dezi inlogstelsel voor de zorg ook kijkt naar het gebruik van ID-Wallets en experimenteert met Yivi.