Lang wachten op een digitale identiteit

Sinds 2002 heeft Passport, het digitale identificatiesysteem van Microsoft, een ambitieuze concurrent: de Liberty Alliance. Enkele van de initiatiefnemers streken gisteren neer op Schiphol voor een lobbygesprek met de pers. Is een digitale identiteit de ideale oplossing voor een praktisch probleem, of een snelweg naar nog veel meer spam?

Horendol word je van alle verschillende registraties en wachtwoorden op internet. Je zou over één digitale identiteit moeten beschikken die je snel door elke registratie kan loodsen. Microsoft heeft al zo'n digitale identiteit in de vorm van Passport. Maar de concurrentie zit niet stil: 164 bedrijven, aangevoerd door Sun Microsystems, bundelden vorig jaar de krachten onder de naam Liberty Alliance.

Hellmuth Broda, de Europese 'chief technology officer' van Sun Microsystems, en Art Coviello, de voorzitter van RSA Security, vertegenwoordigen de Alliance in Nederland, benevens managers van het Belgische netwerkbedrijf Telindus en softwarebedrijf BeTrusted. Microsoft was formeel ook uitgenodigd, in de persoon van Steve Adler, 'senior security strategist' van Microsoft, maar deze zei op het allerlaatste moment af.

Ook in Nederland is de discussie van het digitaal identificeren en de bijbehorende authenticatie allerminst nieuw. In mei 2003 kregen we een nieuwe wet die een digitale handtekening rechtsgeldig maakt. De wet loopt op de feiten vooruit, want tot nu toe kunnen nog maar weinig personen zo'n handtekening zetten. Er ontbreekt namelijk een algemeen geldende digitale identiteit en die zijn zo mogelijk nog zeldzamer.

Net als een rijbewijs

Digitaal inloggen en fysieke identificatie kampen beide met enorme wildgroei. Hellmuth Broda: "Kijk eens naar mijn portemonnee, ongeveer twintig passen, en op mijn Palm staat nog een bestand van 36 KB met daarop wachtwoorden voor allerhande systemen en websites."

De bedoeling van een digitale identiteit is om één enkele deur te hebben naar alle webdiensten. "Vergelijk het met een rijbewijs. Ik heb een Zwitsers rijbewijs, maar ik kan ook in Engeland de weg op zonder dat ik een rijtest hoef af te leggen. Dat kan omdat autoriteiten onderling hebben afgesproken dat mijn rijbewijs in het buitenland ook geldig is. Dat willen we ook op internet: een digitale identiteit moet genoeg zijn om bij meerdere dienstenleveranciers terecht te kunnen. Maar zover is het nog lang niet", legt Broda uit.

MSN- en Hotmail-gebruikers kennen Passport al: je hoeft maar éénmaal in te loggen en hebt dan toegang tot zowel MSN als Hotmail. Ook enkele veiling- en nieuwssites werken al met Passport. Voor gebruikers lijkt dit een simpel systeem, maar achter de schermen heeft Microsoft grote plannen met Passport. Het moet een online identificatiesysteem worden met digitale certificaten, zodat ook financiële transacties mogelijk worden.

Andere bedrijven, zoals RSA, zijn gespecialiseerd in digitale paspoorten voor ondernemingen. Binnen grote bedrijven werkt zo'n enkele login uitstekend. Het uitdelen van een gebruikersnaam kost volgens Art Coviello, baas van RSA Security, zo'n 100 dollar per keer: "Als je bedenkt dat een gemiddelde werknemer bij een grote onderneming zo'n 20 inlognamen heeft, is het zo uit te rekenen dat één enkele digitale identificatie geld bespaart en efficiënter werkt."

Onbekend, onbemind

Maar buiten het bedrijfsleven gaat het wat minder voortvarend met digitale identificatie. Weinig consumenten beseffen het gemak van een digitale identiteit. En zelfs als ze begrijpen wat het inhoudt, dan wantrouwen ze het vanwege privacygevaren. De Liberty Alliance moet dus nog heel wat lobbywerk verrichten. "Het 'frame' ligt al lang klaar, alles werkt, maar we moeten enorm goed uitleggen wat we precies doen. Privacy is een van de allerbelangrijkste punten op dit moment", aldus Sun-baas Broda. Hij ziet maar één adequate oplossing: "Gebruikers moeten te allen tijde de controle houden over hun gegevens."

Coviello steekt de hand ook in eigen boezem: "Er is in het verleden weer te veel beloofd door de IT-sector, ook door ons. Maar die online identiteit gaat er komen. Twintig jaar geleden waren mensen ook bang voor de pinapparaten, waarmee je geld uit de muur kon halen. Niemand snapte het nut ervan, en kijk nu eens. Zes jaar geleden werd je voor gek verklaard als je online bankierde, nu sluiten banken filialen omdat mensen alles ook wel online kunnen regelen."

Ivan Lepla, een consultant van Telindus, meent dat de gebrekkige affiniteit met de digitale identiteit ook typisch Amerikaans is: "Volgens de Amerikaanse grondwet hoeven burgers nooit een identificatiemiddel, zoals een paspoort, bij zich te dragen. Het is dan bijna onmogelijk uit te leggen wat een algemene identificatie op internet nu precies betekent. Mensen gebruiken het in de fysieke wereld immers ook niet."

Liberty contra Microsoft

Volgens Broda is dit een groot verschil met bijvoorbeeld Hailstorm, een mislukt project van Microsoft om alle informatie van Passport-gebruikers centraal te beheren in digitale kluisjes. Hoe meer diensten erbij zouden komen, des te meer persoonlijke informatie zo'n kluisje zou bevatten. De kritiek op dit plan was overweldigend en werd nog eens versterkt door onthullingen over beveiligingsgaten in Passport. Microsoft draaide het plan terug en voert Passport op een versimpelde manier alsnog uit.

Liberty Alliance werd opgericht als reactie op Hailstorm. Maar de Amerikaanse burgerrechtenorganisatie EPIC had ook op dit nieuwe initiatief forse kritiek. Het zou meer spam opleveren en het project zou de gebruikersprofielen vooral voor marketingdoeleinden opbouwen. Dat was in 2002, sindsdien is er op het punt van privacy behoorlijk gesleuteld.

Liberty Alliance werkt decentraal: de gebruikers hebben zelf controle over hun gegevens. Het lijkt in ieder geval veiliger dan een bestand vol wachtwoorden. Broda: "Ik heb tien jaar geleden in de farmaceutische industrie gewerkt. Als ik nu bij mijn oude bedrijf achter een pc ga zitten, weet ik zeker dat er nog wachtwoorden zijn die werken. Met 'digitale identiteitsbeheer' is zoiets niet mogelijk. Een bedrijf kan met een druk op de knop een ontslagen werknemer van alle websites afsluiten."

Liberty Alliance kan nog geen product laten zien, want het is niet meer dan een stelsel van regels en protocollen. Deze fungeren als hulpmiddel voor producenten om decentrale netwerken te vormen van bedrijven die dezelfde identificatie delen, bijvoorbeeld voor het boeken van vluchten, het regelen van een huurauto of een hotelkamer. Broda: "De autoverhuurder hoeft niet te weten dat ik bij het raam heb gezeten en de hotelier hoeft niet te weten wat voor auto ik heb. De consument moet duidelijk weten en kunnen controleren wie welke informatie krijgt."

Lange lobbyweg

De Liberty Alliance-lobbyisten zien in dat een enkel digitaal paspoort voorlopig kansloos zal zijn. Groepen bedrijven, zoals banken en creditcardmaatschappijen uniformeren de identificatie wel, maar dat is niet genoeg. Overleg en nog eens overleg - dat is de weg voor de Liberty Alliance. Ook consumentenorganisaties zijn uitgenodigd om zich aan te sluiten. De Oostenrijkse overheid heeft sinds enige tijd zitting in de club. Broda probeert ook andere landen, waaronder Nederland, over te halen om mee te doen.

De wetgevers volgen de ontwikkeling rondom deze digitale identiteiten evenwel kritisch. Zo werd Microsoft dit jaar nog op de vingers getikt, omdat Passport niet voldeed aan de Europese privacywetgeving. Een helder antwoord heeft Microsoft nog niet gegeven, want het onderwerp ligt buitengewoon gevoelig. En het is in de VS momenteel sterker dan ooit aan politieke invloeden onderhevig.

Links