De koppelcode functioneert als een one-time password, vergelijkbaar zoals Google Authenticator dat ook doet. Ik denk dat men gebruik maak van een soortgelijk principe. De 4-letterige code wordt gegeneerd op basis van een
shared secret en de huidige tijd. De QR code die de server terug geeft bevestig je dat jij inderdaad probeert in te loggen bij die specifieke overheidswebsite en fysiek aanwezig bent om een QR code te kunnen scannen. De daadwerkelijke inlog-actie wordt ook gedaan op basis van informatie in deze QR code. De pincode tot slot is om te bevestigen dat jij ook de eigen naar de telefoon bent, en voorkomt dat een gesloten telefoon misbruikt kan worden.
Technisch gebeurd er ongeveer dit:
- Bij het activeren van de app wordt er een geheime sleutel uitgewisseld tussen jou telefoon de DigiD server. Daarnaast zal er ook een sleutel-paar (publieke sleutel en bijbehorende geheime sleutel) worden gemaakt en uitgewisseld (ik ben niet exact zeker welke kan deze sleutel genereert en hoe deze uitgewisseld wordt)
- Bij het inloggen wordt aan de hand van deze geheime sleutel + de huidige tijd een 4-letterige code gegenereerd
- Aangezien de server deze geheime sleutel ook weet kan deze 4-letterige code ook aan die kant gegenereerd worden en zo vergeleken met jou invoer.
- Als de codes overeen komen maakt de server een QR code met daarin informatie over bij welke website je wilt inloggen. Deze informatie wordt met de publieke sleutel versleutelt en in de QR code gestopt.
- De telefoon die de QR code scant kan met de op de telefoon aanwezige geheime sleutel de inhoud leesbaar maken. Zodra jij als eigenaar je pincode correct intypt zal de telefoon een berichtje sturen naar de server met: "Alles is OK! Je kunt nu veilig toegang verlenen".
Note: Ik ben geen cryptograaf
Dus ik durf niet met zekerheid te zeggen of alles 100% klopt.
[
Voor 3% gewijzigd door
n9iels op 03-03-2020 22:13
]
:strip_icc():strip_exif()/u/990805/crop5e20ca3d75443_cropped.jpeg?f=community)