PrismPass vindt niets uit. Het combineert bestaande, gestandaardiseerde bouwstenen op een manier die privacy structureel maakt — niet als instelling, maar als architectuurkeuze.
Component 01
PrismPass — Authenticatie
De buitenste driehoek: drie elementen genereren samen een wegwerp-sleutel.
Hoek 1
Biometrie: vingerafdruk of gezicht. Verwerking via Secure Enclave / TEE. Verlaat het apparaat nooit.
Hoek 2
Apparaat: device-seed gegenereerd bij installatie, opgeslagen in hardware-beveiligde opslag. Uniek per apparaat, niet exporteerbaar.
Hoek 3
Wearable: tijdgebonden nonce via NFC of BLE. Maximaal 500 ms geldig. Na die tijd onbruikbaar — ook bij onderschepping.
Resultaat
De drie hoeken combineren tot een ephemeral key. Elke sessie genereert een andere handtekening. Twee sessies van dezelfde gebruiker zijn voor de server niet te koppelen.
Technologie
WebAuthn Level 3 (W3C)
FIDO2 / Passkeys
ZKP — circom + snarkjs
Groth16 schema
Secure Enclave
Web NFC API
Windows Hello
Server ziet
Uitsluitend een cryptografisch ZKP-bewijs dat de sleutel geldig was. Geen naam, geen e-mail, geen biometrische data.
PoC bewezen — 25 april 2026
Stap 1: WebAuthn login zonder wachtwoord (Windows Hello + iPhone) ✓
Stap 2: ZKP identiteitsbewijs — twee sessies (AGK8BB, DFFM1O) van zelfde gebruiker bewezen zonder onthulling ✓
Stap 3: Wearable aanwezigheidsbewijs — iPhone als tijdgebonden nonce (120s geldig) ✓
Stap 1: WebAuthn login zonder wachtwoord (Windows Hello + iPhone) ✓
Stap 2: ZKP identiteitsbewijs — twee sessies (AGK8BB, DFFM1O) van zelfde gebruiker bewezen zonder onthulling ✓
Stap 3: Wearable aanwezigheidsbewijs — iPhone als tijdgebonden nonce (120s geldig) ✓
Component 02
PrismShield — Dwangdetectie (Centroid)
De binnenste driehoek: is ontworpen om te onderzoeken of de gebruiker vrijwillig handelt.
Laag 1
Bewegingskwaliteit: accelerometer en gyroscoop meten motorisch patroon bij het ontgrendelen.
Laag 2
Contextvenster: bekende locaties, wifi-netwerken, tijdstip. Onbekende combinatie = verhoogde waakzaamheid.
Laag 3
Stressrespons (tiebreaker): HRV en gripkracht via wearable. Fungeert als tiebreaker bij twijfel.
Duress Mode
Bij gedetecteerde dwang: de aanvaller ontvangt een geloofwaardige sandbox-sessie. Tegelijkertijd stille alert. Na 60 seconden bevriest de sandbox automatisch.
Technologie
Accelerometer / Gyroscoop API
HRV via wearable (PPG)
Lokaal ML-model (on-device)
Core Motion (iOS)
Sensor Fusion
Onderzoeksfase — hypothese, niet productierijp
Wetenschappelijke basis veelbelovend. Nauwkeurigheid van dwangdetectie en beheerbaarheid van false positives vereisen uitgebreid empirisch onderzoek.
Wetenschappelijke basis veelbelovend. Nauwkeurigheid van dwangdetectie en beheerbaarheid van false positives vereisen uitgebreid empirisch onderzoek.
Component 03
PrismID — Selectieve Identiteitsbewijzing
Digitale identiteit zonder onthulling. Alleen het antwoord op een vraag, nooit het paspoort zelf.
Een dienst stelt een vraag: "Ben je ouder dan 18?". PrismID genereert een cryptografisch ZKP-bewijs dat het antwoord ja is — zonder te onthullen wanneer de gebruiker geboren is, waar hij woont, of welke naam hij draagt.
01
Vraag
"Ben je ouder dan 18?"
02
ZKP genereren
Bewijs lokaal op apparaat
03
Antwoord
Cryptografisch bewijs: ja. Geen naam, geen datum, geen BSN.
04
Server verifieert
Bewijs geldig of ongeldig. Dat is alles.
Technologie
ZKP — circom + snarkjs (Groth16)
W3C Verifiable Credentials
Decentralized Identifiers (DID)
Post-quantum ready (CRYSTALS-Dilithium)
EU EUDI Wallet compatibel (eIDAS 2.0)
Architectuur gereed — implementatie in voorbereiding
EU EUDI Wallet (eIDAS 2.0, mei 2024) creëert een directe marktopening voor PrismID als privacy-native alternatief.
EU EUDI Wallet (eIDAS 2.0, mei 2024) creëert een directe marktopening voor PrismID als privacy-native alternatief.
Component 04
Interesse-Paspoort
Opt-in laag: anonieme interessedeling via Privacy Pass tokens.
De gebruiker bezit een lokale interesse-wallet. Categorisering vindt lokaal plaats op het apparaat. Via Privacy Pass tokens worden deze categorieën anoniem doorgegeven aan adverteerders — zonder naam, profiel of sessiekoppeling.
Google Topics API (niet breed doorgezet)
Categorisering door Google (server-side)
Gebruiker bezit categorieën niet
Google = beheerder én concurrent
85% conversies 60–100% onnauwkeurig (CMA 2025)
PrismPass Interesse-Paspoort
Categorisering lokaal op apparaat
Gebruiker bezit en beheert eigen wallet
Open standaard — geen centrale beheerder
Consent-signaal kwalitatief superieur aan cookies
Technologie
Privacy Pass RFC 9576 (IETF)
Privacy Pass RFC 9578 — Issuance
Blind RSA signatures
Origin-Client unlinkability
Technologie-overzicht
Alle bewezen bouwstenen waarop PrismPass bouwt. Niets hoeft opnieuw uitgevonden te worden.
| Technologie | Standaard | Status | Gebruikt in |
|---|---|---|---|
| WebAuthn / Passkeys | W3C Level 3 | Productie | PrismPass · PrismID |
| ZKP — circom/snarkjs | Groth16 / PLONK | Productie | PrismPass · PrismID |
| Privacy Pass | RFC 9576 / 9578 | Productie | Interesse-Paspoort |
| Secure Enclave / TEE | Apple / Android | Productie | Alle componenten |
| NFC / BLE nonce | Web NFC / Bluetooth API | Productie | PrismPass · PrismShield |
| Verifiable Credentials | W3C VC / DID | Emerging | PrismID |
| Gedragsbiometrie | On-device ML | Onderzoek | PrismShield |
| Post-quantum crypto | NIST FIPS 203/204/205 | Migratiepath | Cryptografielaag (modulair) |
Verdieping — Technisch / Bewijs
Architectuur
Systeemoverzicht, protocollen en lagenmodel
PrismShield — BewijsCentroid gedragsmodel en duress-detectie
PrismID — BewijsZKP-bewijzen en attribuut-verificatie
PrismAdd — BewijsPrivacy-bewarende reclame en consent-mechanisme
AanvalstijdlijnZeven aanvalsscenario's en hoe elk laag reageert
Anoniem notificatiekanaalPrivacy Pass RFC 9576/9578 — live demo
PrismPass ObserverWat de server ziet en wat hij nooit te weten komt