Technische referentie
Protocolbeschrijving
Authenticatie zonder permanente identiteit op de server. Dit document beschrijft de volledige flow, eigenschappen, dreigingsmodel en mitigaties van het PrismPass-protocol.
Gedeelde basis van het ecosysteem
Dit protocol vormt de gemeenschappelijke authenticatielaag onder alle vier producten van het PrismPass-ecosysteem. PrismPass gebruikt het voor anoniem inloggen. PrismShield voegt daar dwangdetectie via de Centroid-laag aan toe. PrismID bouwt er selectieve identiteitsdisclosure op. PrismAdd gebruikt dezelfde sessie-onkoppelbaarheid voor anonieme interessesignalering. De eigenschappen op deze pagina gelden voor het hele ecosysteem, ongeacht welk product de gebruiker raakt.
01 — Authenticatieflow
-
Stap 1
Device genereert lokaal een keypair. De private key verlaat het apparaat nooit en is opgeslagen in hardware-beveiligde opslag (Secure Enclave / TEE).
-
Stap 2
De publieke commitment wordt geregistreerd bij de dienstverlener. Er wordt geen naam, e-mailadres of andere persoonlijke informatie opgeslagen.
-
Stap 3
De server stuurt een unieke nonce/challenge. Deze is tijdgebonden en eenmalig geldig.
-
Stap 4
De gebruiker bevestigt lokaal via biometrie (vingerafdruk of gezicht) in combinatie met de aanwezigheid van de NFC-tag. Beide factoren worden uitsluitend op het device verwerkt.
-
Stap 5
Het device ondertekent de challenge met de ephemeral key die voortkomt uit de combinatie van drie factoren: biometrie, device-seed en NFC-tag-nonce.
-
Stap 6
De server valideert het cryptografische bewijs (ZKP). Het protocol geeft uitsluitend een ja/nee terug. De server ziet de claim zelf niet, alleen een cryptografische bevestiging dat de claim geldig is.
-
Stap 7
Het sessietoken wordt aangemaakt en verloopt automatisch na de ingestelde levensduur. Er worden geen cross-sessie-identifiers bewaard.
02 — Structurele eigenschappen
- Geen accountdatabase met persoonlijke gegevens
- Geen wachtwoorden of gedeelde geheimen
- Geen centrale identiteit die gecompromitteerd kan worden
- Sleutels verlaten het device nooit
- Twee sessies van dezelfde gebruiker zijn voor de server niet aan elkaar te koppelen
- Authenticatie vereist altijd actieve gebruikersinteractie: het protocol werkt niet stil op de achtergrond
03 — Dreigingsmodel
Beschermt tegen
✓ Gestolen databases
✓ Credential stuffing
✓ Phishing
✓ Replay-aanvallen
✓ Remote account takeover
✓ Session reuse
✓ Passieve tracking door de server
Buiten scope
○ Gecompromitteerd device-OS
○ Hardware-implants
○ Volledige fysieke device-overname
○ Malware met rootrechten
04 — Replay-mitigatie
- Elke sessie gebruikt een unieke, door de server gegenereerde nonce
- Challenges verlopen na een korte tijdsspanne
- Ondertekende bewijzen zijn eenmalig geldig en worden na gebruik ongeldig verklaard
- Oude sessieberichten worden geweigerd, ook als de handtekening cryptografisch correct is
Resultaat
Een onderschept authenticatiebewijs kan niet opnieuw worden gebruikt. De combinatie van een tijdgebonden nonce (500 ms via NFC-tag) en een server-side challenge maakt replay structureel moeilijk door design.
05 — Anti-cloning
- Sleutels zijn hardware- en device-bound via Secure Enclave of TEE
- Private keys zijn niet exporteerbaar via software-interfaces
- Biometrische bevestiging is vereist bij elke authenticatiehandeling
- NFC-aanwezigheid wordt lokaal gevalideerd: effectief bereik 4–10 cm, tijdvenster 500 ms
Resultaat
Het kopiëren van serverdata is onvoldoende om authenticatie te reproduceren. Een aanvaller heeft tegelijkertijd het juiste device, de biometrische factor en de fysieke NFC-tag nodig. Dit is vergelijkbaar met de logica van een bankpas met pincode en fysieke aanwezigheid, aangevuld met een kortlopende tijdsbinding.
06 — Device binding
- Credentials zijn gekoppeld aan één device-context, vastgelegd bij registratie
- Sleutelmateriaal blijft lokaal opgeslagen in hardware-beveiligde opslag
- Authenticatie vereist het juiste device, lokale unlock en actieve gebruikersinteractie
- Overzetten naar een nieuw apparaat vereist een expliciet her-registratieproces
Resultaat
Een authenticatiebewijs is niet overdraagbaar tussen apparaten. Gestolen of gekopieerde credentials van een ander device zijn zonder het bijbehorende hardware-sleutelmateriaal onbruikbaar.
07 — Metadata
08 — Sessie-onkoppelbaarheid
- Sessies gebruiken tijdelijke identifiers die na afloop worden verworpen
- Challenges zijn uniek per interactie en niet herbruikbaar
- De server bewaart geen persistent identity-profiel tussen sessies
- Afzonderlijke authenticatie-events zijn niet cryptografisch aan elkaar te koppelen
Resultaat
Afzonderlijke sessies kunnen niet betrouwbaar aan dezelfde gebruiker worden gekoppeld op basis van serverdata alleen. Dit is een harde architectuurkeuze, niet een privacyinstelling die achteraf kan worden uitgeschakeld.