Research and Development 1/^Archief/2007-2008/projecten/DigiD/Onderzoeksplan

Uit Werkplaats
Ga naar: navigatie, zoeken

Onderzoeksplan

Probleemstelling

Onderzoeksvraag

Is DigiD als veilig te beschouwen voor de doelen waarvoor het wordt ingezet? Hierbij wordt met veilig het volgende bedoeld.

Ten eerste de beveiliging van het systeem dat DigiD hanteert, de technische beveiliging. Voldoet deze aan de algemene beveiligingseisen opgesteld in de drie velden: anonimiteit, integriteit en authenticiteit.

Maar ook de veiligheid op het gebied van privacy, voldoet DigiD wel aan de huidige privacy wetgeving zoals opgesteld in de Nederlandse Wetgeving.

Wat zijn de gevolgen wanneer er misbruik wordt gemaakt van DigiD.

Beschrijving van het product

Het eindproduct wordt een literatuur onderzoek, waarin onze hoofd- en deelvragen beantwoord worden. Ook maken wij een ontwerp waarin wij één van de drie overgebleven PET-maatregelen toegepast is in DigiD

Verantwoording

Wij hebben voornamelijk gekozen voor DigiD omdat het ons interessant lijkt. Het is iets dat namelijk ook dichtbij onszelf en vele anderen staat, wijzelf kunnen het ook gebruiken om te communiceren met de overheid. Veelal zijn dit persoonlijke gegevens die goed beveiligd zouden moeten zijn.

Sommigen trekken dit echter nogal in twijfel en de verschillende trappen van beveiliging (basis, midden en hoog) zouden niet toereikend zijn voor de doeleinden. Wij zijn dus benieuwd of de verschillende beveiligingsniveaus van DigiD wel veilig genoeg zijn voor bepaalde doelen.

Theoretisch Kader

DigiD staat voor Digitale Identiteit. Hiermee kan de overheid op internet de identiteit van een persoon kan verifiëren. Steeds meer overheidsinstanties zijn aangesloten op DigiD. Men kan op aanvraag een inlogcode voor DigiD aanvragen, die dan per post wordt opgestuurd. DigiD heeft drie verschillende veiligheidsniveaus.

  • Het basis-niveau bestaat uit een gebruikersnaam en wachtwoord, en wordt gebruikt voor eenvoudige handelingen.
  • Bij de middelste trap is er een extra vorm van beveiliging, nu nog in de vorm van een inlogcode die via een sms naar de gebruiker wordt gestuurd, maar er zijn nog andere methodes in onderzoek.
  • Het hoogste niveau is momenteel nog in onderzoek. Hierbij wordt een electronische identiteitskaart gebruikt die kan worden aangevraagd bij de gemeente.

Methode

Onderzoeksfunctie

Met dit onderzoek willen we weergeven voor welke applicaties DigiD gebruikt wordt en welke veiligheidstrap bij een bepaalde applicatie wordt ingezet. We nemen voor de tweede fase de bedreigigen tegen DigiD als een gegeven. We gebruiken deze om te kijken welke aanvallen er op bepaalde applicaties gedaan kunnen worden en of de gevolgen hiervan ook daadwerkelijke schade opleveren voor het slachtoffer, of dat ze gewoon vervelend zijn maar geen daadwerkelijk probleem opleveren.

Deelvragen

Fase 1

In fase 1 verzamelen we informatie over de applicaties die DigiD gebruiken en over de veiligheidstrappen die door DigiD gebruikt worden. Tevens bekijken wij hoe men DigiD kan gebruiken en hoe DigiD aangevraagd kan worden. Ook zetten we enkele vormen van bedreigingen op een rijtje en kijken hoe en waar deze effecten hebben op het gebruik en aanvragen van DigiD.

Fase 2

In deze tweede fase zullen wij ons richten op het veiligheid en privacy aspect van DigiD. We gaan onderzoeken of DigiD de eisen van de Wetgeving Bescherming Persoonsgegevens respecteert en dus of de Privacy goed beschermd is. Op het gebied van veiligheid zijn een tweetal belangrijke veiligheidsstandaarden namelijk CIA en PET. Wij onderzoeken of de veiligheid van DigiD goed is en DigiD dus gebruik maakt van deze standaarden. Daarnaast willen wij een enquête opstellen over hoe men denkt over de privacy en veiligheid van DigiD.


Hierbij willen wij (de veiligheidstrappen van) DigiD testen aan de eisen van een goede beveiliging, de zogenaamde drie velden (anonimiteit, authenticiteit en integriteit). Aan het einde van deze fase kunnen wij dan concluderen hoe het gesteld is met de veiligheid én privacy van DigiD. En indien van toepassing aangeven waar het niet (goed genoeg) is.

Fase 3

In deze fase gaan we ervan uit dat het mogelijk is om toegang te krijgen tot de DigiD van een ander persoon (zie fase 1). Het doel van deze fase is om te onderzoeken wat iemand die inbreekt in de DigiD van een ander hiermee kan doen (bijvoorbeeld adresgegevens wijzigen). We zullen een aantal criteria opstellen waaraan we toetsen in welke mate dit het slachtoffer benadeelt. Aan de hand hiervan kunnen we concluderen of misbruik echt zeer schadelijk/of alleen lastig is en er dus voor een bepaalde applicatie een hogere veiligheidstrap nodig is.

  • Bedreigingen tegen DigiD nemen we als gegeven.
  • Als deze bedreigingen worden toegepast levert dit dan daadwerkelijk schadelijke gevolgen op?

Tevens zullen wij in deze laatste fase een ontwerp maken. Aangezien DigiD één van de vier PET-maatregelen toepast zullen wij kijken hoe één van de overgebleven drie maatregelen toegepast kan worden in de structuur van DigiD.

Onderzoeksmethode

Voor ons onderzoek willen wij voornamelijk gebruik maken van literatuur die op het internet en in boeken is te vinden. Wij zullen deze informatie analyseren en hier verbanden tussen leggen. Waar nodig zullen wij wij personen/bedrijven die nuttige informatie hebben benaderen. Wellicht zullen we zelf ook enkele testen doen met DigiD en kijken hoe dit in het verleden is gelopen.

Tijd en faseringsschema

De globale planning is hier te bekijken.

Literatuur

Dasselaar, A. (2005) Handboek Digitale Criminaliteit. Culemborg: Van Duuren Media.

Jochems, M. (2007) DigiD en Privacy. Masterscriptie Informatiekunde. Radboud Univer- siteit: Nijmegen.

Koorn, R. e.a. (2004) Privacy Enhancing Technologies. Witboek voor beslissers. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties: Den Haag.

Pfleeger, C. en Pfleeger, S. (2003) Security in Computing. Upper Saddle River, N.J: London: Prentice Hall PTR.

Rossum, Henk van e.a. (1995) Privacy Enhancing Technologies: The path to anonymity volume I. Achtergrondstudies en Verkenningen 5a; Rijswijk: Ontario: Registratiekamer: Information and Privacy Commissioner.

Rossum, Henk van e.a. (1995) Privacy Enhancing Technologies: The path to anonymity volume II. Achtergrondstudies en Verkenningen 5a; Rijswijk: Ontario: Registratiekamer: Information and Privacy Commissioner.

Terstegge, J.H.J. (2000) De Wet bescherming persoonsgegevens: Handleiding voor de prak- tijk. Alphen aan den Rijn: Zaventem: Samsom.



Overgenomen van "https://lab.cs.ru.nl/algemeen/index.php?title=Research_and_Development_1/%5EArchief/2007-2008/projecten/DigiD/Onderzoeksplan&oldid=89634"