Identity Crisis – How identification is overused and misunderstood
Auteur:Jim Harper
Gepubliceerd door:Cato Institute, 2006 ISBN:1930865856, 9781930865853
Wat mij betreft wordt het lijstje met standaardwerken op ons vakgebied uitgebreid met dit boek. Ik zal proberen uit te leggen waarom dat het geval is. De belangrijkste reden is dat dit boek niet alleen tijdens het lezen tot nadenken stemt, maar dat het ook na lezing nog tot nadenken stemt. Laat ik gewoon maar even bij het begin beginnen.
Jim Harper is directeur Informatiebeleid bij het Amerikaanse Cato Institute. Dat is een denktank die zich richt op het onderzoeken van het Amerikaanse liberale stelsel. Individuele vrijheid, onder andere door het terugdringen van de rol van de overheid, is een belangrijkobject van onderzoek. Jim is onlangs genoemd als een mogelijke kandidaat voor een functie in het kabinet van Barack Obama als hoofd van de Transportation Security Administration. Ook Bruce Schneier zou een kandidaat zijn, maar die gaf aan geen interesse te hebben.
In het eerste hoofdstuk haalt de auteur meteen maar het belangrijkste beveiligingsprincipe onderuit. Standaard is namelijk dat toegangscontrole de volgende drie elementen omvat: identificatie (zeggen wie je bent), authenticatie (bewijs dat je bent wie je zegt dat je bent) en autorisatie (wat mag je). Harper hanteert een antroposofische filosofie als het gaat om identiteit. Volgens hem is het menselijke identiteitsbegrip ontwikkeld in vier fasen. Hij hanteert daar bij de ontwikkeling van de mensheid om vier soorten identiteit te onderscheiden. De eerste fase is die van de prehistorische mens. Het wezen zonder taal en hulpmiddelen. Iemand heeft een identiteit die door zintuiglijke waarneming wordt vastgesteld. Dat herkennen we nu nog steeds: een baby ziet en herkent zijn moeder en omgekeerd. De moeder heeft nog geen ‘naam’, maar is wel vertrouwd. De identiteit wordt vastgesteld op basis van het zien, horen, voelen, ruiken en proeven.
De tweede fase is die waarin kleine gemeenschappen ontstaan. Binnen zo’n gemeenschap wil je wel eens iemand adresseren of over iemand praten. De mens krijgt van zijn soortgenoten een naam een identiteit, zijn naam. Dat is de toegekende identiteit. Dat herkennen we natuurlijk. Iedereen krijgt nog steeds een naam. Maar iemand krijgt in zijn leven meerdere van dergelijke identiteiten. Een BSN, een klantnummer, een e-mailadres, een inlognaam, noem maar op.
In de derde fase van het ontstaan van de ‘identiteit’ zie je dat de gemeenschappen zich over grotere gebieden gingen verspreiden en dat ze over en weer handel gingen drijven. Daarbij gaat iets als vertrouwen een rol spelen. De derde soort identiteit is die van het gedeelde geheim. Als twee partijen een geheim delen en dat voor zich houden, dan levert dat over en weer vertrouwen op. Daarmee kun je zakendoen. Bij een internet date spreken beide partijen af dat ze het blad Informatie beveiliging in de rechterhand zullen dragen (ik geef toe, een puur hypothetisch voorbeeld). Ook als ze elkaar nooit eerder hebben gezien, levert dat een identificatie op. We herkennen het gedeelde geheim ook in een wachtwoord. Het shared secret identificeert de gebruiker en levert het vereiste vertrouwen.
In de laatste fase werd de maatschappij weer groter. Gedeelde geheimen waren niet meer genoeg. Gedeelde geheimen kun je namelijk verder uitdelen en verloren laten gaan. Daarmee ontstond behoefte aan een fysiek identificatie middel, een token. In verhalen zie je dat terug: twee partijen die allebei de helft van een munt hebben. Maar ook de zegelring van de Paus is een identificatiemiddel. Als de Paus sterft, wordt eerst de zegelring, de verwezenlijking van de identiteit van de Paus, vernietigd.
Er zijn dus vier soorten identiteit. En de waarde van elke soort varieert. De eerste is de sterkste. Biometrie is een krachtig instrument. Identificatie op basis van biometrie is een zeer sterke identificatie, de betrouwbaarheid is zeer hoog. Klaar. Niks authenticatie. Authenticatie is namelijk een instrument om onzekerheid rond de identiteit te beperken. Maar als de identiteit vaststaat, dan levert authenticatie geen hoger vertrouwen op, integendeel, het betekent feitelijk dat blijkbaar noodzaak van aanvullende zekerheid bestaat, dus als de identiteit onvoldoende zeker is.
Standaard beveiligingsprincipe twee wordt ook weggewuifd. Dat principe luidt zo ongeveer als volgt: je mag alleen iets op grond van je identiteit (en dus na het bewijzen daarvan). Maar Harper betoogt dat het in dit geval juist gaat om autorisatie. Identificatie is maar een hulpmiddel. En dat is vaak niet eens nodig. Als je een quasigoed als een treinkaartje koopt, dan mag je reizen volgens de beschrijving op het kaartje. En dat staat helemaal los van wie je bent. Identificeren is daarvoor niet eens nodig.
Hij werkt dit in een groot aantal hoofdstukken uit. En dat leidt tot interessante bespiegelingen. Denk eens aan de anti-terrorismemaatregelen naar aanleiding van 11 september. De Amerikaanse overheid controleert op alle vliegvelden wie aan boord gaan en wie uitstappen. Daarbij hanteert de overheid een zwarte lijst met daarop terrorismeverdachten. Daarmee wordt dus beoogd te voorkomen dat terroristen het land binnenkomen. Volgens Harper werkt dat niet. De terroristen die het WTC invlogen waren nog nooit als terrorist aangemerkt. Ze hebben ook geen enkele moeite gedaan om hun sporen te verbergen. Dat vonden ze niet relevant. Ze gebruikten altijd hun eigen identiteit. Het rendement van hun handelen was hoog. Hoger dan van menigeen die zijn sporen tracht te verbergen. Het gebruik van een andere identiteit is volgens Harper interessant als je daarmee een voordeel kunt bewerkstelligen. Hoe meer voordeel, hoe meer waarde een identiteit heeft.
Een belangrijke identiteit in Amerika is het Social Security Number (SSN)en dan met name op de Driver License. Het wordt op zoveel plaatsen gebruikt dat er een reëel risico van diefstal bestaat. Probleem is echter dat diefstal van een identiteit niet altijd snel wordt opgemerkt. De vraag is dan ook waarom je een identiteit zou moeten gebruiken als het louter om autorisatie gaat. Autorisatie tot het doen van transacties is in de meeste gevallen waarom het mensen te doen is. Als je geld wilt opnemen uit een geldautomaat, maak je geen gebruik van een identiteit, maar van een autorisatie. Iedereen die een pasje met bijbehorende pincode heeft, is geautoriseerd om geld op te nemen. Denk daar even over na: een pasje is geen identiteit.
Als je geen identiteit hoeft te gebruiken, dan kan die identiteit ook niet worden misbruikt. Een voorbeeld: in San Francisco is het kopen van medicinale marihuana voorbehouden aan mensen met een pasje. Dat pasje is uitsluitend voorzien van een pasfoto. Verder niets. Iemand kan zo’n pasje krijgen door het tonen (!)van een rijbewijs en een doktersvoorschrift. Die stukken worden bij de uitgever van de pasjes nergens vastgelegd. Er wordt dus geen identiteit toegekend, er wordt uitsluitend gebruikgemaakt van een biometrische toets (de foto)om vast te stellen dat de autorisatie niet gestolen is. Dat levert een interessant resultaat op: er ligt nergens vast wie marihuana koopt. De privacy van de klanten is dus volkomen gewaarborgd. En de beoogde transactie is ook volkomen gewaarborgd.
Als je zo eens in je eigen portefeuille kijkt, dan zie je al verschillende identiteiten. En autorisaties. Zo staat mijn naam (een toegekende identiteit)op mijn NS trajectkaart (autorisatie). Waarom staat mijn naam daarop? Mijn foto (‘zintuiglijke identiteit’)staat er al op, dus wat doet mijn naam erbij?
Zo kun je ook eens naar je zorgpasje kijken. Grote kans dat daar geen pasfoto op staat, maar het levert wel een autorisatie op: namelijk de drager van het pasje is verzekerd en kan recht doen gelden op een behandeling door een zorgverlener. Dat gaat natuurlijk niet goed, tenzij de rechthebbende, de drager van het pasje, zich identificeert, met bijvoorbeeld een paspoort. Harper geeft vele voorbeelden van het overdadig en overbodig gebruik van identiteiten. Gelukkig geeft hij ook aan welke kant het wel op kan gaan. En daarbij gaat hij aan het eind van zijn boek ook in op het gebruik van digitale identiteiten. Identity2.0 bestond nog niet echt op het moment dat hij het boekschreef, maar de contouren waren al herkenbaar.
Toch nog even terug naar het boek als boek. Waarom is het een klassieker? De theorie die Harper behandelt is nieuw. Tenminste, voor mij. Ik had een dergelijke lijn nooit eerder gezien. Daar moet ik mee aan de slag. Ik heb wat vragen en ideeën die ik met de auteur moet doorspreken. Nee, ik ben er nog niet mee klaar.
Maar daarbij is het boek ook zeer goed leesbaar. Elk hoofdstuk introduceert Harper met een anekdote uit een andere dimensie. Zo reconstrueert hij een moordzaak uit het begin van de 20e eeuw en beschrijft hij een complete aflevering van Star Trek: hij schrijft in hoofdstuk 19 hoe Mr Spock een Vulcaanse gave gebruikt om een bedreiging te identificeren. Ga ik verder maar niet op in, maar het boek leest af en toe als een detective: waar gaat hij naartoe? Resumerend: Identity Crisis is een boeiend boek. Elk hoofdstuk ga je verder de diepte in. Harper beschrijft een interessante en originele theorie. Het bevreemdt me dat het boek zo weinig aandacht krijgt, zonde. Maar dat maken we nu een beetje goed.
Dit artikel verscheen eerder in PvIB Informatiebeveiliging februari 2009.