Smartcards, eID en minder slim plastic: hoe werken ze en hoeveel hebben we er echt nodig?
Je kent het vast wel: je stapt een winkel binnen die je nog niet eerder bezocht, en wanneer je buiten komt, heb je er weer een klantenkaart bij, mooi in de standaard vorm van de vele andere kaarten die je net niet allemaal in je portefeuille krijgt. Binnenkort krijgen er we dan ook nog het nieuwe Europese rijbewijs in bankkaartvorm bij, en voor wie met de trein reist, werd kortgeleden de mobib-kaart ingevoerd, die vroeger enkel voor de metro was bedoeld. We hebben tegenwoordig dus kaarten om te betalen, om korting te krijgen, voor transport, voor identificatie, om deuren te openen, enz. enz. Kortom: er zit meer plastic in onze portefeuille dan geld.
Nochthans zijn er mogelijkheden om de kaartenberg te verminderen. Zo voerde de belgische tak van de oudste bank ter wereld onlangs de paschicombo kaart in. Deze kaart combineert maestro (een zeer courante vorm van debetkaarten, waarmee je quasi overal geld uit de muur kan halen), mastercard (een kredietkaart), een geïntegreerd schermpje waarop éénmalig bruikbare codes komen te staan voor online transacties (eigenlijk een soort eenvoudige digipass), en paypass (een contactloze manier om te betalen door je kaart ergens tegen te “tappen”, en bovendien een online portefeuille). Paypass zit trouwens ook al in een aantal smartphones, die je via Near Field Communication (NFC) op dezelfde manier kan gebruiken.
Ook onze eigen overheid zit niet stil: vanaf 2014 zullen de SIS-kaarten verdwijnen; ze worden vervangen door de belgische eID-kaart, een kaart waarmee België sinds 2003 uitpakt in e-government. We zullen dus niet alleen onze belastingaangifte kunnen doen, maar ook naar de apotheker kunnen gaan met de eID, en dit zijn slechts twee van tientallen toepassingen van de overheid, of honderden andere. Ironisch genoeg kan je via je eID zelfs een online aangekocht treinticket gebruiken, zonder noodzaak aan een mobib-kaart.
Functionaliteiten
Om uit te vissen of we een aantal kaarten kunnen integreren en vervangen door één enkele “superkaart”, kunnen we de meest gebruikte toepassingen, en hoe deze doorgaans worden geïmplementeerd, even overlopen.
- In het gros van de toepassingen van de eID en van de vele lidkaarten van winkels en andere zaken, wordt eigenlijk enkel gebruik gemaakt van identificatie. Dit kan al dan niet met sterke authenticatie (in de zin van: een sterk bewijs van je identiteit, dat alleen door jou kan worden gegeven). Identificatie kan op allerlei manieren: met of zonder gebruik van PIN-code, met of zonder actieve processor op de chip, met of zonder RFID-tag… De meeste handelszaken werken zelfs met een eenvoudige barcode of soms met een QR-code.
In principe hebben we, wat eenvoudige identificatie betreft, genoeg aan één enkele kaart: Het volstaat om de streepjescode op de eID te hergebruiken! Wanneer iets meer beveiliging is vereist, kunnen we NFC gebruiken (“tappen”). Willen we echt op safe spelen, dan moeten we werken met de PIN-code. Al deze zaken kunnen kunnen gemakkelijk in één kaart worden geïntegreerd.
- Naast identificatie is er ook het uitlezen van gegevens. De gegevens staan in dat geval, al dan niet geëncrypteerd, op de chip, en kunnen eventueel zelfs bewerkt worden. Zo staan b.v. ons adres en onze foto op de eID. Het opslaan van gegevens op de kaart zelf is vooral nuttig voor het geval er geen netwerkverbinding mogelijk is.
Voor de meeste eenvoudige toepassingen lijkt gegevensopslag op de kaart mij een overbodige functionaliteit. Alle nodige informatie kan immers in een database worden gezet, gekoppeld worden aan de identiteit van een bepaalde gebruiker en via het netwerk worden opgehaald. Zo werken nu reeds de meeste klantengetrouwheidssystemen: men haalt de kaart langs een barcode scanner en de kassa weet vanzelf of er al genoeg punten werden gespaard voor een korting. Indien nodig kunnen we voor eventuele complexere toepassingen het uitlezen van gegevens altijd nog koppelen aan het gebruik van de chip zelf (waarbij je de kaart ergens in stopt), en dit met PIN-code voor echt gevoelige gegevens.
- Nog een toepassing, vooral in bancaire milieus, is het genereren van antwoorden bij een challenge-response beveiliging. Eigenlijk is dit niet meer dan een sterke vorm van identificatie/authenticatie, maar er is wel geavanceerdere apparatuur voor nodig: meestal moet men de kaart hiervoor in een digipass of andere kaartlezer stoppen. Bovendien is dit vaak een complexe procedure, waarin ook het gebruik van een PIN-code is vereist.
Desalniettemin bewijst de eerder vernoemde paschicombo kaart dat men ook bij deze technologisch uitdagende zaken een verregaande integratie kan bereiken: stop alles gewoon in de kaart (zelfs het numeriek klavier).
- Ten slotte is er nog de digitale handtekening, in de eerste plaats een toepassing van onze eID-kaart. Hiervoor moeten er certificaten op de kaart aanwezig zijn.
Gelukkig komt het gebruik hiervan niet zo vaak voor, en dan nog voornamelijk via de eID. Hier is het herleiden tot één kaart dus reeds een gegeven.
Afsluiter
Het zou dus moeten kunnen om een groot aantal van de vele kaarten die we tegenwoordig moeten rondslepen, te herleiden tot één enkele superkaart (op deze na dan…). Meer nog: onze eigen eID-kaart biedt hiertoe al heel wat mogelijkheden.
Ik laat het aan de lezer om in de comments eventuele problemen te melden, zowel van technologische als van algemeen-praktische aard, die roet in het eten kunnen gooien bij de introductie van een eenheidskaart.
Pingback: One card to rule them all… | Smals Research
Een bijkomende bedenking is dat, wanneer verschillende gebruiken op 1 kaart gecombineerd worden, het voor de gemiddelde gebruiker helemaal niet meer duidelijk is welke informatie hij overdraagt bij het gebruik van zijn kaart (of iets dat daarvoor dienst doet). Misschien onthult hij wel meer dan hij zou willen. En al gauw heeft hij geen andere keuze meer. “Als je deze dienst wil gebruiken, moet je deze kaart gebruiken”. Dit bedreigt misschien wel vroeg of laat het democratie aspect van onze samenleving. Of zijn anno 2012 ‘transparantie’, ‘vrije keuze’ en ‘legitimiteit’ niet meer nodig in een democratie?
Het wordt inderdaad minder duidelijk welke persoonlijke informatie prijsgegeven wordt. Bovendien wil ik ook het recht behouden om met een aantal pseudoniemen door het leven te gaan. Met zo’n kaart wordt het moeilijker om valse persoonlijke informatie te geven aan het bedrijf dat de klantenkaart uitgeeft.
Een paar bedenkingen die zo spontaan opborrelen bij het lezen van deze tekst:
1) Privacy is iets waar absoluut rekening mee moet gehouden worden bij zo’n kaart. Wat als een kwaadwillige toegang krijgt tot al je gegevens die op die kaart staan of met behulp van die kaart geweten kunnen zijn?
2) Wat bij verlies van zo’n kaart? Welke zijn de backup en restore mechanismen?
3) Ik denk niet dat de overheid snel de eID kaart zal openstellen voor niet-overheidsdoeleinden. Dit zou zou m.i. de veiligheidsrisico’s verhogen.
Maar goed, correct me if I’m wrong…
De barcodes van je getrouwheidskaarten kan je allemaal beheren met een app. Yep, there’s an app for that. Zoals Key Ring. Dan kan je gerust die plastiek kaarten thuis laten en je barcode aan de kassa laten scannen via het scherm van je smartphone. Alleen wil dat laatste niet altijd lukken. De verwonderde blikken van de kassierster moet je er ook wel bijnemen.
Inderdaad, dat was ik nog vergeten! ( enkel nog maar bij colruyt geprobeerd, waar het niet ging… spijtig! )