U-Prove: privacyvriendelijk identiteitsbeheer
Voor voldoende vertrouwen bij online transacties willen partijen het een en ander van elkaar weten. Essentiële vragen vanuit privacyperspectief zijn dan deze: Hoe kunnen beide partijen elkaar de minimale informatie verschaffen die nodig is voor dat vertrouwen, zonder daarbij aanvullende (mogelijk privacygevoelige) gegevens te moeten verstrekken om het vertrouwen in die minimaal benodigde informatie zelf te garanderen? En hoe kan voorkomen worden dat de derde partij die instaat voor de betrouwbaarheid van die informatie weet krijgt van (elementen van) de transactie? Een concreet voorbeeld: Hoe kan ik straks mijn digitale paspoort of identiteitskaart gebruiken om aan een website aan te tonen dat ik ouder ben dan 18 jaar, zonder daarbij mijn NAW-gegevens, BSN, geboortedatum, paspoortnummer en dergelijke te verstrekken? En hoe voorkom ik dat de overheid daarbij te weten komt wat voor transactie ik met wie aanga?
Eind jaren negentig bedacht onze landgenoot Stefan Brands, voortbouwend op het werk van zijn leermeester David Chaum, innovatieve antwoorden op deze klassieke en nog goeddeels onopgeloste vragen (zie ook mijn blogpost over elektronisch betalen en privacy). Zijn bedrijf Credentica ontwikkelde op basis daarvan de U-Prove technologie. Twee jaar geleden werden de U-Prove patenten gekocht door Microsoft.
Op de RSA 2010 Conferentie in San Francisco heeft Microsoft eerder dit jaar aangekondigd dat U-Prove nu eindelijk zal worden geïntegreerd in zijn nieuwe identiteitstechnologieën. Belangrijker nog is dat de technologie, met het bijbehorende ontwikkelgereedschap, wordt vrijgegeven onder Microsoft’s Open Specifications Promise. Dat komt er in essentie op neer dat iedereen er vrijelijk gebruik van kan maken.
Anonymous credentials, de naam waaronder (met name) de technieken van Brands bekend staan, dragen al jaren de belofte met zich mee van een doorbraak op het gebied van authenticatie en privacy. De aankondiging van Microsoft betekent dat de komende paar jaar zal blijken of dat terecht is geweest, met andere woorden: of de mogelijkheden die de techniek biedt in de praktijk voldoende te realiseren zijn en voldoende voordelen bieden om aan te slaan.
