DigIdem 2 - De case voor de IDP Business Case

In mijn vorige bijdrage meldde ik dat het gebruik van identiteiten van derden een prettige manier van identiteitenbeheer is, omdat je zo’n identiteit kunt hergebruiken. Hergebruik is dan ook een belangrijke maatregel tegen identiteitendiefstal of tegen het lekken van inloggegevens. Als je op een site niet hoeft in te loggen met een gebruikersnaam en wachtwoord dan hoeft die site je inloggegevens niet te beheren en dan kan die site ze dus ook niet kwijtraken. De belangrijkste maatregel tegen diefstal is om geen waardevolle spullen te hebben…

DigìD is een goed voorbeeld van een identiteit die je elders kunt gebruiken. Ik kan mijn DigiD gebruiken om belastingaangifte te doen, om de WOZ-waarde van mijn huis te bekijken, om mijn pensioenoverzicht te bekijken en om mijn zorgpolis door te bladeren. En voor al die verschillende sites kan ik dezelfde digitale identiteit gebruiken. Hoe kan dat?

Al die sites vertrouwen mijn DigiD. En dat doen ze omdat ze de uitgevende partij, digid.nl, vertrouwen. En waarom is dat zo? Tsja, lastig want eigenlijk moeten al die partijen DigiD wel vertrouwen. Dat is hun wettelijk opgelegd en aangezien onze overheid de hoogste autoriteit in ons land is, en de overheid ook de eigenaar is van DigiD, is het betrekkelijk simpel. Je kunt digid.nl vertrouwen omdat je de overheid vertrouwt. Daar komt wel bij dat er verschillende waarborgen bestaan voor de betrouwbaarheid van digid.nl. Ik weet niet precies welke, want ik heb geen audit uitgevoerd, maar het zal vast wel goed zitten…

Wie kunnen er nou nog meer identity provider worden? Een paar jaar geleden was ik bij een conferentie waarbij Kim Cameron (http://www.identityblog.com) verzuchtte dat iedereen Identity Provider wil zijn: wat is er mooier dan dat iedereen steeds jouw identiteit, als een merk of label, elke dag weer gebruikt? Dat is dus eigenlijk niet de vraag. De vraag zou moeten zijn: wie wil er een serviceprovider zijn die identiteiten van andere identity providers durft te vertrouwen. En dan bestaan er andere zorgen dan de waarde van een merk of label.

Stel deze website besluit om andere identiteiten te gaan vertrouwen. Onder welke condities zou dat dan kunnen gebeuren? De belangrijkste is dat je de identity provider wilt vertrouwen. Daar gaan we weer: wanneer wil je een identity provider vertrouwen (als we de overheidsdwang even buiten beschouwing laten)?

Casus

We hebben zo'n 5 jaar geleden geprobeerd om een dergelijk instrument in te richten. ECP/EPN had het OpenID+ samenwerkingsverband opgezet. Het achterliggende idee was dat we OpenID (http://nl.wikipedia.org/wiki/OpenID) als mechanisme konden gebruiken als digitaal paspoort. Niet zo’n rare gedachte want er waren al verschillende partijen die met OpenID konden werken. Hyves (toen nog heel relevant) snapte OpenID en ook Google kon ermee uit de voeten.

Het ECP/EPN initiatief hield in dat verschillende partijen een OpenID identiteit zouden accepteren als die van een vertrouwde OpenID identity provider afkomstig zou zijn (dat was de + in OpenID+). En om dat te faciliteren was het OpenID+ framework bedacht: een vertrouwensraamwerk, waarin verschillende maatregelen waren getroffen om te kunnen waarborgen dat de OpenID’s van OpenID+ partners vertrouwd konden worden. Dat wil zeggen dat de identity providers aan bepaalde eisen zouden moeten voldoen, zowel qua proces als qua techniek. En wanneer zou dat op het afgesproken betrouwbare niveau zijn? Dat zou dan moeten blijken naar een audit of een self assessment. Maar toen werd het lastig.

Hoe zou zo’n trust framework eruit gaan zien?

  • Moesten we met een soort ‘white list’ gaan werken waarop alle betrouwbare OpenID providers vermeld mochten staan?
  • Hoe kwam zo’n OpenID provider op die white list?
  • Moest er een toetsingskader worden ontwikkeld voor audit of self-assessment?
  • Kan elke service provider zomaar die white list gebruiken?
  • Zouden de kenmerken van identiteiten op dezelfde manier geïnterpreteerd worden door service providers?
  • Wat zou er gebeuren als er een probleempje ontstond, bijvoorbeeld misbruik van een identiteit, diefstal van een OpenID+ identiteit of verkeerde interpretatie van de attributen van de identiteit door een service provider?
  • Hoe zou het gaan met de juridische aansprakelijkheid voor dergelijke incidenten?
  • Hoelang zou registratie op de white list geldig zijn en wanneer wordt een provider verwijderd?
  • Moest er een arbitragecommissie worden ingericht?
  • …?

Je ziet, een enorm aantal vragen, dat we op zouden moeten lossen voordat we ermee aan de slag konden gaan. En toen begon het nog meer te dagen. Wie gaat dat betalen? We hadden al snel becijferd dat elk van de partners een flinke investering zou moeten doen om OpenID+ mogelijk te maken.

Ja, natuurlijk konden een paar van de partners bilateraal iets regelen, maar wat is dan het hergebruikpotentieel van een digitale identiteit? Wat is voor een consument dan de waarde van zo’n identiteit? Naarmate er meer hergebruik mogelijk is, is de (gebruiks)waarde hoger en zal de consument die identiteit wellicht prefereren boven andere identiteiten. En met een laag gebruikspotentieel is de business case voor Identity Providers niet aanwezig.

Het Governance Framework, het Assurancemechanisme voor OpenID+ kwam uiteindelijk niet van de grond. Geen van de 15 aanwezige partijen durfde met al deze onzekerheden de investering aan.

Volgende keer wil ik iets verder inzoomen op de business case voor identity provisioning.

PS: OpenID is niet hetzelfde als het nieuwe OpenID Connect protocol. Dat is een heel fraai nieuw mechanisme voor Identificatie, Authenticatie en Autorisatie. Kunnen we het later wel eens over hebben.