zaterdag 2 juli 2022

zaterdag 6 maart 2021

In New Interview, John Mayer Eyes 2022 for Dead & Company Tour

In New Interview, John Mayer Eyes 2022 for Dead & Company Tour: John Mayer recently took some time to appear on his pal Andy Cohen's Radio Andy program, and it was a matter of time before the conversation made its way

zondag 12 januari 2020

Leif de Leeuw inBeatforthuis op 10 januari 2020

Dutch contemporary Blues-Rock band. Winner Dutch Blues Challenge 2014, European Blues Award 2015, Sena Guitar Awards 2009/2013.

vrijdag 10 januari 2020

Cryptografische specificaties NL eID privacy enhancing technology beschikbaar oktober 2019

Cryptografische specificaties NL eID privacy enhancing technology beschikbaar


Eric Verheul

Eric Verheul

Information security consultant specializing in innovative cryptographic applications 
2 articles


Op https://wiki.bsn-koppelregister.nl/display/DC/3.+Downloads staan de specificaties en decryptie software (Java) voor de privacy enhancing technology voorzien binnen het Nederlandse eID stelsel. Dit staat bekend als PEP (Polymorphic Encryption and Pseudonimation). Het PEP startpunt is – fundamenteel anders dan dat van bijvoorbeeld IRMA – die van een gecentraliseerde opzet (‘federatie’): de authenticatie vindt plaats bij een authenticatiedienst die het resultaat doorgeeft aan een dienstverlener.  
Voor dit startpunt is gekozen omdat ervaringen uit andere landen zoals Duitsland aangeven dat een gedecentraliseerde (‘directe’) benadering belastend kan zijn voor dienstverleners. Dit onder meer omdat dienstverleners dan middel specifieke protocollen moeten implementeren en middel specifieke helpdesks moeten inzetten. PEP beoogt evenwel de “ontzorging” van een gecentraliseerde authenticatie opzet te combineren met de privacy en security voordelen van een gedecentraliseerde oplossing. Toepassing van PEP is authenticatie technologie neutraal en kan worden gecombineerd met reguliere vormen van authenticatie (ook IRMA). In mei 2018 heeft PEP een security beoordeling door de universiteit van Birmingham glansrijk doorstaan. PEP wordt nu al toegepast voor het aanloggen vanuit Nederland in andere lidstaten via eHerkenning (eIDAS interoperabiliteit).
De cryptografische specificatie van PEP-eID staan in de subdirectory /pep-crypto-documentation/10-Reference. De specificatie start met de niet-technische achtergrond van PEP en de rationale voor de gekozen opzet. Daarnaast omvatten de specificaties ook innovatieve overheidstoepassingen die met PEP mogelijk worden zoals privacy vriendelijke gegevensuitwisseling in de zorg (www.medmij.nl) en stemmen vanuit het buitenland.
Het PEP paradepaardje is DigiD Hoog dat een fundamenteel privacy probleem oplost in een gecentraliseerde opzet. DigiD Hoog is gebaseerd op een eID kaartapplicatie (Polymorphic Card Application of PCA) die reeds sinds vorig jaar aanwezig is op het Nederlandse rijbewijs; de Nederlandse identiteitskaart volgt later (aanpassing paspoort wet). Op dit moment zijn ongeveer 3 miljoen rijbewijzen uitgegeven geschikt voor DigiD Hoog en dat aantal groeit met ongeveer 35.000 per week.
Aangaande privacy probleem dat DigiD Hoog opgelost: in een standaard gecentraliseerde authenticatie opzet krijgt de authenticatie dienst zowel inzicht in de identiteit van de gebruiker als van de dienstverlener die deze wenst te bezoeken. Het bezoek aan sommige dienstverleners (bijvoorbeeld in de zorg) kan zelfstandig al als bijzonder persoonsgegeven worden bestempeld. DigiD Hoog lost dit privacy issue op door aanloggen anoniem te laten plaatsvinden. Dat wil zeggen: de (gecentraliseerde) authenticatie dienst DigiD verstrekt een gerandomiseerd, versleuteld BSN van een burger aan een dienstverlener zonder zelf inzage in te krijgen in het BSN of dit te kunnen linken. Doordat DigiD wel weet bij welke dienstverlener de burger wil aanloggen, kan deze wel worden beschermd tegen browser malware (‘man-in-the-browser’ malware). Daarmee is zowel hoge privacy als security mogelijk en hoeft hiertussen geen keuze te worden gemaakt zoals in andere landen wel is gedaan. Vorig jaar is een succesvolle pilot uitgevoerd met DigiD Hoog. Als alternatief voor een separate kaartlezer konden gebruikers ook hun “NFC-enabled” telefoon gebruiken. Tot voor kort waren dat alleen Android gebaseerde telefoons maar recent zijn ook Apple toestellen (iPhones) geschikt.
PEP (en ook de eID kaart) ondersteunt naast het BSN ook pseudoniemen zoals ook sterk geadviseerd in de AVG. Ter illustratie, toepassing van het BSN in een attributen register waarin alleen wordt bijgehouden dat iemand ouder dan 18 lijkt niet in lijn met het AVG “data minimization” beginsel; zeker niet als de bevragende diensten (bijvoorbeeld zorg of goksites) privacy gevoelig zijn. Bij gebruik van het BSN zou de attribuut diensten immers bij iedere bevraging inzicht krijgen wie de dienst bezoekt. Een machtiging register hoeft ook niet het BSN van de gemachtigde te kennen; een pseudoniem kan daar ook volstaan.
Naast de gebruikelijk eigenschappen hebben PEP pseudoniemen ook bijzondere eigenschappen. Homomorfe cryptografie realiseert bijvoorbeeld dat een authenticatiedienst zoals DigiD de pseudoniemen vormt zonder er inzage in te krijgen; alleen de dienstverlener en betrokkene krijgen inzage. Doordat verder versleutelde BSNs en pseudoniemen digitaal getekend zijn (EC-Schnorr), kunnen zij ook end-to-end privacy en end-to-end security leveren zoals in een decentrale opzet. De eerste eigenschap betekent dat ‘tussenliggende’ partijen zoals makelaars geen inzage krijgen in de identiteiten (BSNs en pseudoniemen), de tweede betekent dat deze partijen de identiteiten niet kunnen manipuleren. PEP voorkomt daarmee dus ook het ontstaan van privacy hotspots waar in verleden discussie over was (de ‘authenticatiepooiers’).
Met de toepassing van PEP ontstaat een krachtige security infrastructuur ook geschikt voor toepassing van AVG beginselen “data protection by design” en “data minimization” binnen (toekomstige) Nederlandse overheid toepassingen. De ondersteuning van pseudoniemen maakt ook integratie mogelijk van publieke en private authenticatiediensten, hetgeen onderliggend is aan het Scandinavische eID succes. Doordat de pseudoniemen zijn afgeleid van het BSN zijn ze uniek per dienstverlener waarmee bijvoorbeeld ook marktplaats fraude en social media trolling zou kunnen worden gemitigeerd: een gebruiker kan dan immers maar één keer een “eID verified” account aanvragen.



Published by

Eric Verheul
Eric Verheul
Information security consultant specializing in innovative cryptographic applications
2 articles

woensdag 27 november 2019

The Amazon Music Boycott Is Growing

The Amazon Music Boycott Is Growing

On Tuesday, November 26, JPEGMAFIA became the latest musician to withdraw from the lineup of Intersect, a new Las Vegas music festival funded and presented by Amazon Web Services. Representatives of the celebrated art-rapper did not provide a reason for his decision to SPIN, but it comes against the backdrop of a rising tide of protest by independent musicians against Amazon for the tech behemoth’s contracts with Palantir, a data-mining company that provides software for federal Immigration and Customs Enforcement.
In October, prompted by the announcement of Intersect, more than 1,000 musicians signed a pledge not to participate in Amazon-sponsored events or exclusive Amazon partnerships until the company terminates its relationship with Palantir, among other demands. Organizers of the campaign, dubbed No Music for ICE, escalated their tactics this week, with a call for participating musicians to also remove their catalogs from Amazon Music Unlimited, the company’s music streaming service. Acclaimed indie bands Deerhoof, Downtown Boys, Speedy Ortiz, and Told Slant are among those who have already directed distributors to pull their albums from the platform. Signees of the initial boycott of Amazon events include Fugazi’s Guy Picciotto, Vivian Girls, Ted Leo, and Car Seat Headrest.
“It is time to say NO to ICE and the tech companies that power it, like Amazon,” the organizers wrote in an open letter on Sunday. “A mass, collective takedown is an escalation, another step in musicians acting in solidarity with the numerous groups across the country protesting to shut down ICE and end family separations, deportations, and other horrors.”
Amazon Web Services, the company’s cloud computing division, hosts a whopping portion of the internet on its servers, including Netflix, Lyft, and AirBnB. AWS’s client list also includes Palantir, a largely secretive company co-founded by the notorious billionaire venture capitalist Peter Thiel, which develops the case management software that ICE uses to target immigrants, including parents of unaccompanied minors, for criminal prosecution. In 2018, ICE held a daily average of 44,631 people in detention, the highest number in the agency’s 16-year history.
Chicago-based dance music producer and DJ The Black Madonna was the first artist to withdraw from Intersect after the lineup was unveiled. She credited her decision to Amazon’s indirect ties with ICE, and alleged that she had not been informed that Intersect was Amazon-affiliated when she signed on to perform, a claim Amazon representatives have denied. Representatives for seven artists still on the Intersect bill declined to comment on their involvement, or whether they had been informed of Amazon’s involvement.
Organizers told SPIN that No Music for ICE was inspired by similar campaigns by tech workers and immigrant rights organizations, and also by online discourse about Intersect after the lineup was announced. “It seemed to me a bit wrong that so much of the attention was going on artists, you know, calling them out, rather than going towards why it is that musicians shouldn’t want to work with Amazon, and how many of us don’t, and sort of formally voicing that,” Speedy Ortiz guitarist and bandleader Sadie Dupuis, an organizer of the campaign, told SPIN.
Employees at Amazon, Microsoft, and Google have organized petitions in the past year demanding that their companies reject existing and prospective contracts with both ICE itself and third party firms like Palantir that develop the agency’s software. The Seattle software company Chef announced in September that it would not renew an ICE contract after employees protested. And in a precedent for the artist-organizers of No Music for ICE, two major independent comics festivals, Bethesda’s Small Press Expo and the Toronto Comics Art Festival, dropped the Amazon-owned comics distribution platform ComiXology as a sponsor after nearly 200 artists and industry workers published an open letter criticizing Amazon’s relationship with Palantir. (Both festivals declined to comment.)
Kate M., a tech organizer and musician who helped organize No Music for ICE (and declined to share her last name), said that artists in the streaming era share common ground with tech workers. “It’s important to realize that, as musicians, if we are taking paychecks from Amazon, we are tech workers too, and have the power to withhold our labor and affect Amazon’s bottom line,” she told SPIN. “This seems like a logical moment for us to start building our movement.”
The open letter includes step-by-step instructions for removing music from Amazon. It also acknowledges the cost of taking a stand, claiming that, for major rock acts, the platform accounts for around four percent of an album’s first-week streams. It’s a relatively small share compared to the dominance of Apple and Spotify in the music market, but not immaterial. Still, this dynamic makes it easier for a musician to withhold work from Amazon than it might be for, say, a cartoonist. “Not every author can afford to extract themselves from Amazon completely,” Michael DeForge, an artist who helped organize the cartoonist campaign, told SPIN.
Three labels—Philadelphia’s Get Better, London’s Damnably, and Barcelona’s Sidefunk—said they have issued takedowns to Amazon for their entire roster. Amazon did not respond to multiple requests for comment.
If you would like to share any interesting information, email me at tosten.burks@spin.com.