Toon posts:

DigiD app en key attestation

Pagina: 1
Acties:

Vraag

vrijdag 19 september 2025 11:58

Acties:
  • 0 Henk 'm!
  • Iedjee
  • Registratie: December 2006
  • Laatst online: 22:46

Iedjee

Topicstarter
Ik kreeg deze week de 6.16.0 versie van de DigiD app op Android geïnstalleerd.
In de Google Play Store https://play.google.com/s...soverheid.digid.pub&hl=nl staat "Ook hebben we de app nog veiliger gemaakt.".
Als ik in de release notes zoek op de Logius website https://www.logius.nl/onz...updates/digid-release-616 zie ik dat "key attestation" is toegevoegd. Wordt de beveiliging van de app daar echt beter van? Ben ik nu meer afhankelijk van Google met de app?

Beste antwoord (via Iedjee op 19-09-2025 16:10)

vrijdag 19 september 2025 15:35

  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

Iedjee schreef op vrijdag 19 september 2025 @ 15:19:
Ik lees alleen maar dat DigiD nu zeker weet dat het sleutel bij het apparaat hoort, niet dat het veiliger is. Is deze sleutel nu niet te hacken? Door een andere app misschien? Als het toestel geroot is?
DigiD gaat er vanuit dat je (over het algemeen) maar voor 1 persoon een DigiD op een apparaat hebt staan. En als je app en apparaat kunt koppelen weet je dus ook als Persoon X plotseling vanaf een ander apparaat komt, dat er IETS aan de hand is. Dat kan natuurlijk simpelweg een nieuwe telefoon zijn, maar ook een minder betrouwbare aanmelding.
En ja... dat is veiliger.
En weet Google nu ook meer over mij of over het feit dat ik de DigiD app gebruik?
Ik begrijp hieruit dat je Android gebruikt. En ik neem aan dat Google meer dan genoeg over je weet. Ik heb niet de kennis van een expert in beveiligin, maar ik ga er vanuit dat als er IETS dodgy zou zijn in key attestation op Android (wat dus al een paar jaar onderdeel is) dat daar wel een artikeltje over verschenen zou zijn, hier en daar. En dat de jongens en meisjes bij Logius die zich met de security bezighouden dan wel op de rem getrapt zouden hebben. Dat is niet gebeurd, dus ik neem zo maar even aan dat er geen (extra en/of gevoelige) data naar Google gaat... Anders dan wat je zelf toch al gedeelt hebt, that is.
En niet te vergeten: wat zijn nu de verschillen met de Apple iOS implementatie. Of vinden iOS gebruikers het niet erg als Apple meer in control is over hun sleutel /app / DigiD?
Waarom dit (kunstmatige) verschil tussen Android/Google en Apple/iOS? In wezen zijn bovenstaande antwoorden daar gewoon nog steeds van toepassing

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

Alle reacties

vrijdag 19 september 2025 14:35

Acties:
  • 0 Henk 'm!
  • Iedjee
  • Registratie: December 2006
  • Laatst online: 22:46

Iedjee

Topicstarter
Ik zie dat er nu ook een nieuwsbericht over is, https://tweakers.net/nieu...voor-key-attestation.html.

Dat beantwoordt nog niet al mijn vragen. Dus ik hoop dat er andere tweakers zijn die toch nog wat meer weten.

vrijdag 19 september 2025 15:10

Acties:
  • +1 Henk 'm!
  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

Ehh... Misschien is het handig om je vragen dan opnieuw (en misschien wat uitgebreider) te formuleren. Want in principe zijn de twee hierboven beantwoord in de volgende quote:
Door key attestation in DigiD te verwerken, wordt een link gelegd tussen de DigiD-app en het apparaat waarop een gebruiker die installeert. "Zo weet DigiD zeker dat deze sleutel hoort bij het apparaat dat wordt gebruikt om in te loggen", schrijft Logius.

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

vrijdag 19 september 2025 15:19

Acties:
  • 0 Henk 'm!
  • Iedjee
  • Registratie: December 2006
  • Laatst online: 22:46

Iedjee

Topicstarter
Ik lees alleen maar dat DigiD nu zeker weet dat het sleutel bij het apparaat hoort, niet dat het veiliger is. Is deze sleutel nu niet te hacken? Door een andere app misschien? Als het toestel geroot is?

En weet Google nu ook meer over mij of over het feit dat ik de DigiD app gebruik?

En niet te vergeten: wat zijn nu de verschillen met de Apple iOS implementatie. Of vinden iOS gebruikers het niet erg als Apple meer in control is over hun sleutel /app / DigiD?

vrijdag 19 september 2025 15:35

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

Iedjee schreef op vrijdag 19 september 2025 @ 15:19:
Ik lees alleen maar dat DigiD nu zeker weet dat het sleutel bij het apparaat hoort, niet dat het veiliger is. Is deze sleutel nu niet te hacken? Door een andere app misschien? Als het toestel geroot is?
DigiD gaat er vanuit dat je (over het algemeen) maar voor 1 persoon een DigiD op een apparaat hebt staan. En als je app en apparaat kunt koppelen weet je dus ook als Persoon X plotseling vanaf een ander apparaat komt, dat er IETS aan de hand is. Dat kan natuurlijk simpelweg een nieuwe telefoon zijn, maar ook een minder betrouwbare aanmelding.
En ja... dat is veiliger.
En weet Google nu ook meer over mij of over het feit dat ik de DigiD app gebruik?
Ik begrijp hieruit dat je Android gebruikt. En ik neem aan dat Google meer dan genoeg over je weet. Ik heb niet de kennis van een expert in beveiligin, maar ik ga er vanuit dat als er IETS dodgy zou zijn in key attestation op Android (wat dus al een paar jaar onderdeel is) dat daar wel een artikeltje over verschenen zou zijn, hier en daar. En dat de jongens en meisjes bij Logius die zich met de security bezighouden dan wel op de rem getrapt zouden hebben. Dat is niet gebeurd, dus ik neem zo maar even aan dat er geen (extra en/of gevoelige) data naar Google gaat... Anders dan wat je zelf toch al gedeelt hebt, that is.
En niet te vergeten: wat zijn nu de verschillen met de Apple iOS implementatie. Of vinden iOS gebruikers het niet erg als Apple meer in control is over hun sleutel /app / DigiD?
Waarom dit (kunstmatige) verschil tussen Android/Google en Apple/iOS? In wezen zijn bovenstaande antwoorden daar gewoon nog steeds van toepassing

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

vrijdag 19 september 2025 15:43

Acties:
  • 0 Henk 'm!
  • Iedjee
  • Registratie: December 2006
  • Laatst online: 22:46

Iedjee

Topicstarter
Dank voor je uitleg. Wel nog een vervolgvraag: kunnen mensen die geen Google hebben of gebruiken nu wel nog de app gebruiken? En de ID-check uitvoeren?

Eigenlijk zou Logius dit soort vragen moeten kunnen beantwoorden, als we er tenminste van uit kunnen gaan dat ze over dit soort dingen nadenken daar.

vrijdag 19 september 2025 16:10

Acties:
  • 0 Henk 'm!
  • Iedjee
  • Registratie: December 2006
  • Laatst online: 22:46

Iedjee

Topicstarter
Ik lees nu ook de reacties bij het artikel. Ik ben bang dat een goed antwoord op mijn vragen hier niet komt.

@Jester-NL dank voor je bijdrage

zaterdag 20 september 2025 08:01

Acties:
  • 0 Henk 'm!
  • Iedjee
  • Registratie: December 2006
  • Laatst online: 22:46

Iedjee

Topicstarter
Ik heb even wat verder onderzoek gedaan naar key attestation. Dit artikel van GrapheneOS is wel interessant.
https://grapheneos.org/ar...ation-compatibility-guide

Als ik het goed begrijp gaat het dus meer om Google certified hardware.
https://www.android.com/certified/
En het lijkt erop dat elk AOSP OS dus de API kan gebruiken.

Ook vond ik nog deze interessante app, waarmee je kan testen of en hoe key attestation werkt op je device.
https://play.google.com/s...ub.vvb2060.keyattestation

Misschien valt het dus allemaal wel mee hoezeer de DigiD app nu meer afhankelijk is geworden van Google. Het device is blijkbaar toch al certified door Google.

Maar misschien kan de redactie van Tweakers er verder onderzoek naar doen en vragen stellen aan Logius.

[ Voor 6% gewijzigd door Iedjee op 20-09-2025 08:06 ]

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq