Een derde generatie eid stelsel gebaseerd op polymorfe pseudonimisering

PvIB 10-02-2015 Een derde generatie eid stelsel gebaseerd op polymorfe pseudonimisering Veilig, privacy vriendelijk en gebruikersvriendelijk authenticeren bij publieke en private dienstverleners Eric Verheul 10 februari 2015

PvIB 10-02-2015 2 Agenda Aanleiding en context eid stelsel Hoofdlijn vereisten Nederlandse eid Vanuit vereisten naar ontwerp Het eid stelsel 2.0 en voorbeeld use cases Anonieme toegang Wettelijke toegang Afsluiting Appendix: Cryptografische details

PvIB 10-02-2015 3 Aanleiding eid Stelsel In 2017 moeten burgers en bedrijven de mogelijkheid hebben om al hun zaken met de overheid digitaal af te handelen. De Nederlandse overheid wil zijn burgers (consumenten en ondernemers) beschikking geven over een hoog niveau elektronisch identificatie. Kabinetsambitie Digitaal 2017 Onder meer België, Denemarken, Duitsland, Estland, Luxemburg, Oostenrijk, Portugal, Spanje, Zweden zijn Nederland voor gegaan.

PvIB 10-02-2015 4 eid Stelsel context: eerste generatie eid De eerste generatie eid stelsels ontstaan aan het begin van de eeuw, zoals in België (2003). Hierbij verstrekt de overheid een eid kaart aan zijn burger, i.e. een smartcard waarop een digitaal certificaat is geplaatst. Het certificaat bevat de volledige naam van de burger ( Jan Jansen ). De eid kaart mag gebruikt worden voor zowel publieke (e-government) als private dienstaanbieders. Jan Jansen Middle ware Dienstaanbieder Welkom Jan Welkom Maarten Jan Jansen Jan Jansen Jan Jansen Klantnummer 12-07-1984 Bloemstraat 12 1123 Haarlem

PvIB 10-02-2015 5 eid (kaart) aandachtspunten RADAR 23-12-2014 Betrouwbaarheid: hoe voorkom je identiteitsdiefstal en identiteitsverwisselingen? Privacy: is het acceptabel dat een private partij ( webshop ) altijd beschikking krijgen over de naam van de burger? Gebruiksvriendelijkheid: is één eid kaart type acceptabel in alle omstandigheden? Zal het altijd handig werken op een PC, tablet, smartphone? Jan Jansen eid Jan Jansen Dienstaanbieder Welkom Jan Welkom Maarten Jan Jansen Jan Jansen Klantnummer 12-07-1984 Bloemstraat 12 1123 Haarlem

eid Stelsel context: tweede generatie eid De Duitse eid kaart (2010): is tweede generatie eid; gebaseerd op elektronische paspoort technologie, om veilig vingerafdrukken te kunnen lezen vanuit een paspoort. mag gebruikt worden voor publieke en private diensten. verstrekt (standaard) pseudoniemen aan een (private) dienstverlener. Het pseudoniem verschilt per dienstverlener. dit pseudoniem kan met toestemming worden aangevuld met persoonsgegevens (attributen) vanaf de kaart. is van één type (vorm) dat niet in alle contexten handig zal werken. Het Duitse eid stelsel is privacy vriendelijk maar niet bijzonder gebruikersvriendelijk. Dienstaanbieder Welkom AF8BCCE821 Welkom Maarten Jan Jansen Middle ware PvIB 10-02-2015 AF8BCCE821 Customer nr. Jan Jansen 12-07-1984 Bloemstraat 12 1123 Haarlem Optioneel (consent) 6

PvIB 10-02-2015 7 Hoofdlijn vereisten Nederlandse eid Betrouwbare on-line authenticatie voorkoming identiteitsdiefstal en identiteitsverwisseling Privacy bescherming bij on-line authenticatie invulling van data minimalisatie (Artikel 5c, EU privacy verordening) versus procedurele / contractuele / sanctie gebaseerde bescherming Toegankelijke on-line authenticatie middelen moeten gebruikersvriendelijk en beschikbaar (betaalbaar) zijn te gebruiken bij zowel publieke diensten en private diensten om redenen van schaalvoordeel en gebruikersgemak authenticatie middelen van verschillende partijen naast elkaar bruikbaar, ook nieuwe, innovatieve aansluiten op bestaande authenticatie standaarden

eid 2.0 ontwerpkeuzen PvIB 10-02-2015 8

Vanuit vereisten naar ontwerp: keuze voor federatie eid Logon Service Provider Service Provider (or eid broker) Choose your Identity Provider: Identity Provider Logon screen with mobile OTP Jan Jansen Jan Jansen 1 2 3 4 Service Provider Welcome Welkom Identity Maarten Identity Identity message 4 PvIB 10-02-2015 Identity Customer nr. Jan Jansen 12-07-1984 Bloemstraat 12 1123 AB Haarlem Optioneel (consent) 9

PvIB 10-02-2015 10 Vanuit vereisten naar ontwerp: andere keuzen Authenticatie kwaliteit gebaseerd op STORK. SAML is basis voor betrouwbaarheid, e.g. berichten zijn digitaal getekend. Dit laat ruimte voor verschillende privacy implementaties. betrouwbaarheid en privacy rol van eid brokers zo beperkt mogelijk (wel maximale ontzorging). eid identiteiten zijn onafhankelijk van de authenticatiedienst (gebruikersvriendelijkheid) eid identiteiten zijn uniek (betrouwbaarheid). Dus verschillende gebruikers hebben altijd verschillende identiteiten. X Identiteiten zijn technisch gebaseerd op het BSN zonder dat dit koppel issues introduceert. Zie volgende slides.

PvIB 10-02-2015 11 Privacy keuzen Specifieke privacy keuzen eid v.2 1. Identiteiten zijn pseudoniemen gebaseerd op het BSN in plaats van persoonsgegevens. 2. Identity Providers krijgen geen toegang tot deze pseudoniemen om issues rond relateren van persoonsgegevens te voorkomen (geen persoonsnummers bij IdP). 3. Er moet ondersteuning (keuze) zijn voor anonimiteit, i.e. dat identity providers geen kennis krijgen van de dienstverleners die hun klanten bezoeken. 4. eid pseudonimiteit moet gecontroleerd weg te nemen zijn voor opsporingsdiensten.

Het eid stelsel 2.0 PvIB 10-02-2015 12

Opzet van het eid stelsel 2.0 Polymorphic Pseudonym Provider (SRD) Identity Provider Attribute Provider Y eid Makelaar Service Provider X OTP Jan Jansen PvIB 10-02-2015 13

Opzet van het eid stelsel 2.0 Polymorphic Pseudonym Provider (SRD) Identity Provider Attribute Provider Y eid Makelaar Service Provider X 1. OTP Jan Jansen PvIB 10-02-2015 14

Opzet van het eid stelsel 2.0 Polymorphic Pseudonym Provider (SRD) Identity Provider Attribute Provider Y eid Makelaar 2. Service Provider X 1. OTP Jan Jansen PvIB 10-02-2015 15

Opzet van het eid stelsel 2.0 Polymorphic Pseudonym Provider (SRD) Identity Provider 2a. eid registratie (eenmalig) Unieke en redundante Identiteit (bijv. voor- en achternaam, geboortedatum en -plaats) Attribute Provider Y eid Makelaar 2. Service Provider X 1. OTP Jan Jansen PvIB 10-02-2015 16

Opzet van het eid stelsel 2.0 Polymorphic Pseudonym Provider (SRD) Identity Provider BSN! 2a. Uniciteit Check eid registratie (eenmalig) Unieke en redundante Identiteit (bijv. voor- en achternaam, geboortedatum en -plaats) Attribute Provider Y eid Makelaar 2. Service Provider X 1. OTP Jan Jansen PvIB 10-02-2015 17

Opzet van het eid stelsel 2.0 Polymorphic Pseudonym 2b. Polymorphic Pseudonym Provider (SRD) Identity Provider BSN! 2a. Uniciteit Check eid registratie (eenmalig) Unieke en redundante Identiteit (bijv. voor- en achternaam, geboortedatum en -plaats) Attribute Provider Y eid Makelaar 2. Service Provider X 1. OTP Jan Jansen PvIB 10-02-2015 18

Opzet van het eid stelsel 2.0 Polymorphic Pseudonym 2b. Polymorphic Pseudonym Provider (SRD) Identity Provider BSN! 2a. Uniciteit Check eid registratie (eenmalig) Unieke en redundante Identiteit (bijv. voor- en achternaam, geboortedatum en -plaats) Encrypted Pseudonym h(bsn) 3. SP X Attribute Provider Y eid Makelaar 2. Identity Message Service Provider X 1. OTP Jan Jansen PvIB 10-02-2015 19

Opzet van het eid stelsel 2.0 Polymorphic Pseudonym 2b. Polymorphic Pseudonym Provider (SRD) Identity Provider BSN! 2a. Uniciteit Check eid registratie (eenmalig) Unieke en redundante Identiteit (bijv. voor- en achternaam, geboortedatum en -plaats) Encrypted Pseudonym h(bsn) 3. SP X Attribute Provider Y eid Makelaar 2. Identity Message Pseudonym h(bsn) SP X 4. Service Provider X 1. OTP Jan Jansen PvIB 10-02-2015 20

Polymorphic Pseudonym metafoor BSN van Jan Jansen BSN geknipt in stukjes Sommige BSN stukjes weggegooid Overgebleven stukjes door elkaar gehusseld (keyed hash) Plaatsing stukjes in Identity Provider `schudkluis. The basic pseudonym Het polymorphic pseudonym bij de IdP PvIB 10-02-2015

PvIB 10-02-2015 Polymorphic Pseudonym Encrypted Pseudonym Plaatsing stukjes in Identity Provider `schudkluis. The basic pseudonym The polymorphic pseudonym at the IdP Identity Provider past `schud instructies toe voor specifieke aanbieder X The The pseudonym basic pseudonym for SP X The The polymorphic encrypted pseudonym for at the SP IdP X (only SP X can open vault)

Randomizatie van Encrypted Pseudonyms Encrypted Pseudonyms kunnen gerandomiseerd worden door ieder; de nieuwe is niet koppelbaar met de oude. Beide bevatten wel hetzelfde pseudoniem. Dit geeft EP prettige privacy eigenschappen, bijv. bebruikers kunnen onbeperkt nieuwe EP maken. Dit is ook de basis voor PPCA (zie onder). Ex. A838VYQk7Cu2/xVYjrY8y6aVUQok/txjsiUdvspKhcrfetE/3AaI7vg== A7NB0KngNfsSW9dCMC6ixHoenXYdLDvTsEEuuHW2c3w7qo4tZvnFUwU== The pseudonym for SP X Encrypted Pseudonym for SP X Example ECC-320 = 13.000 bit RSA! AlJZJA2tZTm7JHC3K3GZXg4tIWYabRqtjHzM8HsSlFRgNb6mzAO21QE== Ex. A7NB0KngNfsSW9dCMC6ixHoenXYdLDvTsEEuuHW2c3w7qo4tZvnFUwU== The pseudonym for SP X Randomized Encrypted Pseudonym for SP X PvIB 10-02-2015

PvIB 10-02-2015 24 eid scheme 2.0 infrastructure

PvIB 10-02-2015 25 eid use cases

PvIB 10-02-2015 26 Basic public use case (registered user) 4. PP Identity Provider AuthA 3. Dear Mr. Jansen, do you want to logon to government.nl with your BSN? EP BSN Link Register BSNK 2. 5. BSN Attribute (SAML encrypted) BSN 6. Service Provider government.nl 1. Note: government does not need a pseudonym OTP Jan Jansen

PvIB 10-02-2015 27 Basic private use case I (registered user) EP EP 4b. PP Identity Provider AuthA Age Link Register AR 3. Dear Mr. Jansen, do you want to logon to Gambling.com with your an AGE attribute? 2. 4a. 5. >18 Attribute (SAML encrypted) >18 6. Service Provider gambling.com 1. Note: gambling site needs pseudonym to be able to assess possible gambling addiction (legal requirement) OTP P Jan Jansen

PvIB 10-02-2015 28 Basic private use case II (registered user) EP EP 4b. PP Identity Provider AuthA Age Link Register AR 3. Dear Jan, do you want to logon to Children.com with your an AGE attribute? 2. Slechte voorbeeld tekst! 4a. 5. <14 Attribute (SAML encrypted) <14 year 6. Service Provider Childeren.com 1. OTP P Jan Jansen

PvIB 10-02-2015 29 Bank KYC use case (registered user) PP Identity Provider AuthA 3. Dear Mr. Jansen, do you want to logon to open an account at ING.NL and want to provide NAW, address, date of birth and BSN from NAWR.NL? EP EP 4b. NAW Registration 2. 4a. 5. (SAML encrypted) 6. Bank ING.NL 1. OTP Note: This also allows the use of two of more Identity Providers in parallel for additional assurance. These all should result in the same pseudonym at ING due to the eid unicity properties! P Jan Jansen

PvIB 10-02-2015 30 Bank lost-token use case (registered user) PP Identity Provider 3. Dear Mr. Jansen, do you want to report a lost OTP token to ING.NL? EP 2. 4. 5. Lost OTP token.html P Bank ING.NL New token sent, activation code is 74664AB Jan Jansen Lost OTP token.html 1. OTP Note: This also allows the use of two of more Identity Providers in parallel for additional assurance. These all should result in the same pseudonym at ING due to the eid unicity properties!

Anoniem betalen (bij webshop) PvIB 10-02-2015 31

PvIB 10-02-2015 32 Reguliere betaling opzet Clearing network Bank I Bank R Jan Jansen Webshop Customer nr.: 45678 12-07-1984 Bloemstraat 12 1123 AB Haarlem Balance: 1234 NL69 INGB 0123 4567 89 Mies Maan Customer nr.: 87654 21-01-1980 Roosstraat 12 2214 HX Groningen Balance: 4321 NL66 RABO 0987 6543 22

PvIB 10-02-2015 33 Regular e-payment initiation 1. Jan Jansen Mies Maan Mies buys product XYZ at JanJansenWebshop.nl 2. Jan Jansen Dear person, please send 100 to my bank account through ideal Mies Maan

Regular e-payment execution Clearing network Bank I 100 ConAccName: Mies Maan CAcc# NL66 RABO 0987 6543 22 To: NL69 INGB 0123 4567 89 Description: Product XYZ 2. 100 ConAccName: Mies Maan CAcc# NL66 RABO 0987 6543 22 To: NL69 INGB 0123 4567 89 Description: Product XYZ 1. Bank R Jan Jansen Webshop Customer nr. 12-07-1984 Bloemstraat 12 1123 AB Haarlem Balance: 1234 + 100 NL69 INGB 0123 4567 89 Mies Maan Customer nr. 21-01-1980 Roosstraat 12 2214 HX Groningen Balance: 4321-100 NL66 RABO 0987 6543 22 Merchant knows name and Bank account of Mies Maas also required for refunding PvIB 10-02-2015 34

PvIB 10-02-2015 35 a-payment setup Clearing network Bank I Bank R Jan Jansen Webshop Customer nr. 12-07-1984 Bloemstraat 12 1123 AB Haarlem Balance: 1234 NL69 INGB 0123 4567 89 RABO.nl h(bsn) P Mies Maan Customer nr. 21-01-1980 Roosstraat 12 2214 HX Groningen Balance: 4321 NL66 RABO 0987 6543 22 Anonymous bank account (pseudoid)

Regular e-payment execution Clearing network Bank I 100 EP From: To: NL69 INGB 0123 4567 89 Description: Product XYZ EP 100 From: To: NL69 INGB 0123 4567 89 Description: Product XYZ Bank R 2. 1. Jan Jansen Customer nr. 12-07-1984 Bloemstraat 12 1123 AB Haarlem Balance: 1234 + 100 NL69 INGB 0123 4567 89 Mies Maan Customer nr. 21-01-1980 Roosstraat 12 2214 HX Groningen Balance: 4321-100 NL66 RABO 0987 6543 22 Merchant knows only EP from Mies Maas, allowing (only) refunding PvIB 10-02-2015 36

PvIB 10-02-2015 37 Anonieme eid toegang (PPCA)

Anonymous eid access: PPs op smartcards 3c. Dear customer, do you want to logon to MedA? 3b. Identity Provider PP Secure Tunnel Internet 3a. OTP PP h(bsn) MedA 3d. EP eid Status Service 2. EP 4. On-line clinic MedA 1. h(bsn) MedA Pseudonym OTP Jan Jansen PP PvIB 10-02-2015 38

PvIB 10-02-2015 39 Wettelijke toegang

PvIB 10-02-2015 40 Wettelijke toegang Twee soorten verzoeken kunnen worden afgehandeld door de CIPEI: De-pseudonimisering : verstrekken van de identiteit op basis van een pseudoniem en het afkomstige dienstaanbieder domein. Pseudoniem berekening op verzoek : verstrekken van het pseudoniem op basis van het BSN en het dienstaanbieder domein.

PvIB 10-02-2015 41 Wettelijke toegang: use cases Een use-case voor De-pseudonimisering kan een fraude aangifte zijn van een service provider tegen een gebruiker. De opsporingsdienst wordt dan via de CIPEI in staat gesteld om de identiteit van de gebruiker te achterhalen en verder onderzoek te doen, e.g. de gebruiker te ondervragen. Een use-case voor Pseudoniem berekening op verzoek kan een strafrechtelijk onderzoek zijn naar een verdachte van on-line kinderlokken (grooming) op een bepaalde website. De eerste use-case heeft de identiteit van de verdachte opgeleverd. Daarna wil de opsporingsdienst onderzoeken of de verdachte ook actief is geweest op vergelijkbare websites. Cryptografisch zijn voor beide verzoeken verschillende soorten cryptografische informatie benodigd. Dit betekent dat de CIPEI desgewenst verder gesplitst zou kunnen worden naar functionaliteit.

PvIB 10-02-2015 42 Legal access LEAF1 LEAF2

PvIB 10-02-2015 43 Vragen? Details op http://www.eid-stelsel.nl/over-eidstelsel/programma-eid/werkgroepen/.

Appendix: Cryptografische details PvIB 10-02-2015 44

The ElGamal public key system Change plaintext inside Change private key Re-randomize Re-randomized ElGamal encryptions are indistinguishable. PvIB 10-02-2015 45

PvIB 10-02-2015 46 Forming of PPs The PP provider (at one-time registration of IdP client) For each identity provider, say the i-th, the pseudonym provider is provided its public key f i by the KMA. The identity provider does not possess the private key! The pseudonym provider calculates the following ElGamal encryption during the one time generation of a user polymorphic pseudonym based on the BSN: Randomized (non-linkable person numbers)

PvIB 10-02-2015 47 Transforming PPs to EPs The Identity provider (at each authentication), transforms the polymorphic pseudonym to a form suitable for the service provider X inside the ElGamal encryption from the outside in three steps: Registered PP Change inside pseudonym Change Decryption key Re-randomize (non-linkable person numbers)

PvIB 10-02-2015 48 Transforming EPs to Ps Finally, the service provider decrypts the encrypted pseudonym and raises the expression to its key SK j after receipt, closing the pseudonym. Received EP ElGamal decrypt Pseudonym Closing

PvIB 10-02-2015 49 PPCA: further details A polymorphic pseudonym (P 1, P 2, P 3 ) takes the form of three points on an elliptic curve generated by a base point G. The point P 3 is the public key of the identity provider. A randomization is not complex; the card generates a random number r and forms (P 1 + r*g, P 2 + r*p 3, P 3 ). This takes two point multiplications and two point additions. Some card platforms (e.g., Javacard) do not support point additions from Java code (hidden in co-processor). For this one can also take two randomized polymorphic pseudonyms (P 1, P 2, P 3 ); (Q 1, Q 2, P 3 ) and return (r*p 1, r*p 2, P 3 ); (s*q 1, s*q 2, P 3 ) with r random and s = 1-r. This only involves point multiplications. The identity provider adds them,,i.e. (r*p 1 + s*q 1,r*P 2 + s*q 2, P 3 ), which will give a random polymorphic pseudonym.