Category Archives: Diversen

Artificial Intelligence op #samboict

Vandaag ben ik te gast bij het KW1C voor de 39ste saMBO-ICT Conferentie. De keynote van het middagprogramma wordt gegeven door Eric Postma. hoogleraar AI verbonden
aan Tilburg University en de Jheronimus Academy of Data Science met als specialisatie Beeld- en signaal-analyse en deep learning.

Hij start met historie:

  • Alan Turing als grondlegger van moderne computers.
  • Symbolische AI (1980 tot 2000): Als je maar genoeg kennis in een systeem stopt en combineert met “Als-Dan regels” dan krijg je intelligentie, was de gedachte. Dit was natuurlijk een beperkte aanpak, aangezien intelligentie ook gebaseerd is op ‘impliciete kennis’. In deze tijd ontstonden schaakcomputers.
  • Sub-symbolische AI (1988 -2016): Kennis vergaren werkt met voorbeelden. In deze tijd ontstonden systemen voor grootschalige patroonherkenning (objecten op foto herkennen etc).
  • Deep Learning (vanaf 2012): Intelligente systemen krijgen we door de werking van de hersenen na te bootsen. Systemen met zogenaamde neurale netwerken. Ook deze werken met grote sets voorbeeldmateriaal om te trainen.

Wat zit er nu achter de AI Revolutie? Want de ideeën bestaan al decennia. Er is meer data, meer gelabelde data en meer computerkracht die ineens tot doorbraken leidt. Eric geeft leuke toepassingen zoals het automatisch inkleuren van klassieke zwart-wit filmpjes, het automatisch labelen van grote hoeveelheden media in archieven, het verscherpen van vage foto’s, ondertiteling op basis van liplezen en natuurlijk het autonoom laten bewegen van auto’s en drones. Tegenvaller is wel dat er “deep-fakes” mogelijk zijn: systemen die synthetische spraak combineren met video van iemand, op zo’n manier dat het authentiek lijkt te zijn.

Beperkingen zijn er nog zeker wel: patroonherkenning is namelijk een vorm van ‘associatie’ en nog steeds geen echt begrip.

Eric spreekt enthousiast en heeft een genuanceerd verhaal. De stap naar onderwijs of de concrete toepassingen daarvoor mocht wat mij betreft net iets meer uitwerking.

 

Moeten we willen wat technologie kan? #samboict

Vandaag ben ik te gast bij het KW1C voor de 39ste saMBO-ICT Conferentie. Eke Jelluma opent met de keynote. Ze illustreert de snelheid van ontwikkelingen, met de bekende voorbeelden. Haar nieuwsgierigheid is naar het waarom van technologiegebruik en hoe ons gedrag erdoor verandert.

Ze introduceert ook een trend indeling: Macro-trends (vergrijzing, vluchtelingen), Sociaal-culturele trends (generatie-trends, gender-trends) en Product-Marketing trends (gadgets en technologie hypes). Het bedrijf waar ze werkt (TrendsActive) gebruikt sociaal-wetenschappelijke methodes om ze te onderzoeken.

De ‘verbonden maatschappij’ omschrijft ze langs 3 kenmerken:

  • Interactie: In de basis blijven we een sociaal wezen met een diepe behoefte aan verbondenheid met anderen.
  • Instantane beloning: je hersenen reageren ‘positief’ op het zien van de berichten na een notificatie. Met alle kansen op verslaving die daar bij komen. Tegelijk biedt het aanknopingspunten voor de implementatie van nieuwe technologie: voelen mensen euforie doordat het sociaal lonend is? De voorbeelden zie ze benoemt komen terug in hun Trendrapport. Sommige doen me denken aan ‘gamification’.
    Men verwacht onmiddellijke reactie en onmiddellijk resultaat. Ongeduld neemt toe, ook in de offline wereld. Voice-assistenten die direct antwoord geven versnellen dit verder.
  • Controle: De tegenreactie op ‘Instant Gratification’ is de behoefte aan controle. Mensen worden kritischer op hun relatie met het mobieltje en gaan digitaal detoxen.

Uit de zaal kwam de vraag of de ‘Marshmallow’ test recent weer onderzocht is en of die verandert door “Instant Gratification”. Zelf de vraagsteller even instantaan willen belonen door het op te zoeken. Te vinden hier.

Eke spreekt enthousiast zonder gejaagdheid, wat je bij trendwatchers wel eens ziet. De zorgen die ze impliciet uitspreekt worden niet angstig gebracht. Zelf vind ik het natuurlijk wel terecht om niet ongebreideld ‘alles wat kan’ ook daadwerkelijk te doen. De boodschap die ze brengt is dat we ons steeds ‘ethische’ vragen blijven stellen bij technologie. Vragen over normen, waarden en privacy etc.

Oneliner die ik ga hergebruiken:

Kan technologie alles wat we willen? Ja! Moeten we alles willen wat technologie kan? Nee!

 

 

Centraal Aanmelden in MBO

Vandaag ben ik te gast bij Surf voor de bijeenkomst “IAA in het MBO”.  In de vierde sessie neemt Jan Bartling ons mee in de casus “Centraal Aanmelden en Onderwijsovereenkomst”.

Waarom zou je uberhaupt centraal aanmelden?

  1. Aanmelden heeft een juridische status gekregen. Eerste schreven wij ze in, maar met de nieuwe wet heeft men “Toelatingsrecht“, als ze voor 1 april aanmelden. Wil je dat recht uitoefenen dan moet het goed vastgelegd worden. Met juridisch gewicht zeg maar.
  2. Aanmelden uniform laten verlopen.
  3. Identificatie wordt efficiënt (1x) geregeld. Op het moment dat een student zich wil aanmelden dan is hij voor ons eigenlijk nog geen student maar een gewone burger. Als de burger zich identificeert dan is dat met DigiD.
  4. Het geeft inzicht in meervoudige aanmelden. Gemiddeld hebben studenten 2 aanmeldingen per inschrijving.
  5. Om op sectorniveau het aantal aanmeldingen te limiteren.

Om gegevens terug te geven aan toeleverende VO scholen zijn er knooppunten opgeleverd. Deze zorgen technisch voor de uitwisseling. Tegelijkertijd is er een coöperatie “MBO-Voorzieningen” opgericht die eigenaar wordt van deze voorziening. De MBO instellingen zijn lid hiervan.

Het blijft wel mogelijk dat een student zich bij de instelling zelf aanmeldt. Hybride, je verwacht het niet in Nederland.

Verder tipt Jan de Strategische Agenda Digitalisering MBO. Kan ik van harte aanbevelen. Voor mij de belangrijkste opmaat in doelstelling 2: Elke student heeft een eigen dossier.

Jan brengt op dit punt mondig onder woorden wat er ontstaan is in MBO land. Namelijk dat we alles met alles koppelen. Terwijl zijn dossier juist bij de persoon zelf moet liggen in plaats van in een centrale keten. De verkenning van eduMij is hier essentieel voor. Ik kan mij hier hartgrondig in vinden.

Mijn andere blogs over Centraal Aanmelden zijn hier te vinden.

Red Spider

Vandaag ben ik te gast bij Surf voor de bijeenkomst “IAA in het MBO”.  In de derde sessie neemt Roy Dusink ons me in de ontwikkelingen met Red Spider. Recent blogde ik hier daarover. Zelf hecht ik veel waarde aan het samen optrekken met andere instellingen, gezien de kostenbesparing voor dit soort randvoorwaardelijke voorzieningen.

Red Spider is een gebruikersvereniging met nu 11 leden. Mijn instelling is ook lid, actief mag ik wel zeggen. Technisch is het gebaseerd op NetIQ. Al onze identiteit gegevens die we binnen ons applicatielandschap moeten koppelen of extern moeten doorgeven aan de federaties (Entree en SurfConext) zitten hier in.

Uitdagingen:

  • Op dit moment ontbreekt Access-management in de oplossing.
  • De gebruikservaring van authenticatie mag beter.
  • Nieuwe wet en regelgeving (AVG).
  • De komst van ECK-id.

De visie die de vereniging heeft bevat termen als: naadloze toegang, Privacy-by-Design, Regie op gegevensverstrekking. Waar we van af moeten, vind ik zelf ook, is directe cloud-koppelingen en daarmee tegelijk account-informatie uitwisselen.

Uiteindelijk is het een oproep om gezamenlijk op te trekken als MBO’s om voor identiteiten en toegang een generieke voorziening te krijgen. Niet zozeer alleen voor de leden van de vereniging maar voor allemaal. Daarbij samen optrekkend met Surf en Kennisnet natuurlijk.

 

 

 

 

 

Algemene ontwikkelingen IAA bij SURF & Kennisnet

Vandaag ben ik te gast bij Surf voor de bijeenkomst “IAA in het MBO”.  In de tweede sessie lopen we de ontwikkelingen langs, HP Köhler neemt ons mee.

MBO is een beetje een aparte sector omdat iedereen aangesloten is op 2 federaties. Entree voor digitale leermiddelen en SurfConext voor identiteiten. Beiden hebben een federatief centraal hub model waarbij de school de identity provider is. Technisch is het een implementatie van de SAML standaard.

Het IAA proces zoals HP dat ziet:

  • Identificatie: Juridische vaststellen van de identiteit.
  • Registratie: Administratie van de functie.
  • Authenticatie: Is hij/zij wie hij zegt te zijn?
  • Autorisatie: toegang krijgen tot gegevens of functionaliteiten.
  • Gebruik

De uitgangspunten voor IAA zijn:

  • Gebruiker centraal en privacy-vriendelijk, met consent.
  • Gemakkelijk in gebruik en beheer.
  • Veilig, schaalbaar en betaalbaar.

In het tweede deel praten we door over eduID. Zijn we net ECK-Id aan het doen met nummervoorziening, moeten we al weer nadenken over de opvolger of doorontwikkeling. 😉

Dat lokte dan ook veel vragen uit. Het eerste is slechts een pseudoniem in mijn ogen, dat als attribuut aan een identiteit hangt zodat leveranciers niet weten welke leerling/student het betreft. Het tweede is meer een leven-lang-leren oplossing. Zit dan ook nog in de verkennende fase. De verkenning uit zich bijvoorbeeld in:

  • Praktische pilot is die van de Edubadge en micro-credentials. Hierin zitten vooral HO/WO instellingen en één MBO. Top van Deltion.
  • Het eduMij concept: een persoonlijk en levenslang educatie en ontwikkeldossier. Naar analogie van MedMij. Opdrachtgever van eduMij is de ‘informatiekamer’ (MinOCW en de onderwijssectoren).

Zelf ben ik het meest nieuwsgierig naar eduMij, mits de gegevens zich bij de lerende zelf bevinden en niet in één centrale silo.

Beleid voor IAA: Principes voor Identificatie

Deze blog is de tweede in de reeks over beleid, uitgangspunten en principes voor identificatie, authenticatie en autorisatie. De eerste is hier te vinden.

We verankeren onze identiteiten.

Het uitgeven van een digitale identiteit is altijd gebaseerd op een externe autoriteit die we vertrouwen:

  • De manieren voor digitale identificatie die wij zelf bieden (account) zijn verankerd in het tonen van een identiteitsbewijs zoals deze is uitgegeven door een overheid. Dit vindt plaats vóór het aanmaken ervan.
  • De middelen voor digitale identificatie die zijn uitgegeven door andere organisaties vertrouwen we indien deze zijn aangesloten bij dezelfde federaties als wijzelf. De eisen voor toegang tot de federatie dienen als waarborg.
  • De middelen voor digitale identificatie van geautomatiseerde processen (het domein van een server) zijn verankerd in het proces van certificering. Partijen die deze certificaten uitreiken kunnen dit alleen als ze voldoen aan de Telecommunicatiewet en aan specifieke eisen. De Autoriteit Consument en Markt ziet hier op toe en vormt zo een waarborg voor ons.

We onderhouden één Identiteit.

Een natuurlijke persoon heeft één identiteit. Het HR systeem (medewerker) of de deelnemersregistratie (cursisten, studenten en leerlingen) geldt als bronsysteem. Uitzonderingen kunnen gemaakt worden voor personen die zowel student als medewerker zijn.

Het aangewezen bronsysteem van een identiteit geldt als bron voor de levenscyclus. Zodra de persoon niet meer actief is bij de onderwijsinstelling wordt zijn/haar identiteit gedeactiveerd (incl. alle autorisaties). De bewaartermijn van (gedeactiveerde) identiteiten, accounts en autorisaties wordt bepaald door de applicatie-eigenaar in samenwerking met de proces-eigenaar. Wetgeving is hierin altijd leidend.

We onderhouden één account.

Een identiteit beschikt over één account voor onze ICT infrastructuur. Een uitzondering wordt gemaakt voor test-, beheer- en service-accounts, die echter wel te herleiden zijn naar een natuurlijk persoon of specifiek systeem.

Accounts voor applicaties worden geautomatiseerd aangemaakt en verwijderd. Voor risicovolle applicaties worden accounts direct gedeactiveerd. Indien dit niet geautomatiseerd kan, dan wordt dit conform een procedure handmatig ingeregeld.
Er worden geen ‘algemene’ accounts gebruikt, die niet gekoppeld zijn aan een persoon.

Context bepaalt autorisatie

De context van een identiteit bepaalt in eerste instantie de autorisatie. Voorbeelden zijn iemands functie en organisatieonderdeel, op basis waarvan basale autorisaties (account uitgifte en autorisaties binnen applicaties) worden toegekend. Naarmate er meer eigenschappen bekend worden (voor strikt organisatorische doeleinden), wordt het verlenen en muteren van autorisaties verder verfijnd en geautomatiseerd.

We gebruiken pseudoniemen in de educatieve contentketen

Om de persoonsgegevens van onze deelnemers te beschermen, als zij gebruik maken van digitaal lesmateriaal of digitale examens bij externe leveranciers, werken we op basis van pseudoniemen. Wij weten bij welke natuurlijke persoon het pseudoniem hoort, de leverancier echter niet.

Mijn volgende blog zal gaan over de principes voor Authenticatie.

 

Beleid voor IAA: Zeker weten wie wat mag

Afgelopen tijd heb ik samengewerkt met onze Functionaris Gegevensbescherming aan het IAA-beleid. Deze formuleert uitgangspunten en principes voor identificatie, authenticatie en autorisatie. Het bleek dat we best nauwkeurig mensen rechten geven binnen applicaties, maar zonder een onderlegger voor onze functioneel beheerders en zonder breed afgesproken standpunten. Komende blogs ga ik hier op in en deze is dus de eerste in de reeks.

Wat verstaan we onder IAA?

Identificatie, Authenticatie en Autorisatie zijn stappen in het proces voor toegangscontrole. Dit is het proces om toegang te krijgen tot ons netwerk, onze applicaties en functionaliteiten daarbinnen. Het ziet er op toe dat de juiste personen toegang hebben tot gegevens.

Identificatie

Identificatie is het kenbaar maken van de identiteit van een persoon of een systeem. Om de identiteit op een zinvolle manier te kunnen gebruiken, is het noodzakelijk dat elke toegepaste identiteit uniek is. In de regel gebeurt dat door aan iedere gebruiker van onze ICT-omgeving en aan elk geautomatiseerd proces een unieke gebruikersnaam toe te kennen.

Authenticatie

Authenticatie is het vaststellen van de juistheid van de opgegeven identiteit. Dat kan een persoon of systeem aannemelijk maken met:

  • Iets wat alleen jij kent (een wachtwoord).
  • Iets wat alleen jij hebt (een certificaat, een sleutel, een mobiel of token voor extra code, een pasje met een chip).
  • Iets wat alleen jij bent (biometrische kenmerken zoals vingerafdruk of iris).

Als een combinatie van bovenstaande manieren gebruikt wordt, dan spreekt men van sterke of meervoudige authenticatie. Idealiter wordt hier pas om gevraagd als er binnen een applicatie gevoelige gegevens opgeroepen worden of waardevolle transacties gedaan worden.

Bijvoorbeeld: het bekijken van een rooster van een student kan al na inloggen met alleen een wachtwoord, maar voor het bekijken van zijn begeleidingsdossier zou een extra code gevraagd worden. Dit wordt ‘step-up’ authenticatie genoemd.

Autorisatie

Autorisatie is het uitdelen van een recht op functionaliteit om met een set gegevens iets te doen: toegang om ze te lezen, te wijzigen of te beheren (het recht om rechten uit te delen). Bij dit proces hoort ook het muteren of intrekken van zo’n recht. In de praktijk worden deze rechten gekoppeld aan rollen en krijgt een individu een rol met de daarbij behorende rechten toegewezen.

Zie onderstaand model aan de hand van het motto: “Je identiteit kenbaar maken, aantonen en gebruiken.”

20181111IAAPosterLageResolutie

In hoge resolutie hier te downloaden.

Wat verwachten we van IAA nu en straks?

We verwachten nu al:

  • Dat IAA de vertrouwelijkheid van de informatie kan borgen en ervoor moet zorgen dat alleen de personen voor wie de informatie bedoeld is er toegang toe hebben. Hiermee wordt tevens het vertrouwen in de ICT-omgeving vergroot en in het geval van persoonsgegevens helpt het privacy realiseren.
  • Dat IAA beleid en de afgeleide richtlijnen gecontroleerde toegang tot applicaties en gegevens daarbinnen waarborgt. Soms impliceert dit ook toegangscontrole tot fysieke locaties (bijvoorbeeld het datacenter, ruimtes met netwerkcomponenten en stroomvoorziening, examenlokalen of de kantoren waar examens opgeslagen zijn).
  • Dat IAA hoge eisen stelt aan de houding en gedrag van onze medewerker.

We verwachten dat in de toekomst:

  • Het gebruik van pseudoniemen voor onze deelnemers toe zal nemen. Dit zijn lange reeksen karakters die uniek zijn per deelnemer en inschrijving. Als school weten wij welk pseudoniem bij welke deelnemer hoort. Externe partijen echter werken alleen met het pseudoniem zonder dat ze weten welke ‘persoon’ er achter zit. Tegelijkertijd hebben ze wel de zekerheid dat het een deelnemer van ons is. Deelnemers kunnen zo digitaal lesmateriaal gebruiken of examens maken zonder dat de leverancier ervan teveel persoonsgegevens krijgt.
  • We steeds strikter toezien op de naleving van het IAA-beleid. De bewustwording dat het onbeperkt gegevens verzamelen en koppelen negatieve gevolgen kan hebben voor een individu en dus de maatschappij, motiveert steeds meer om formeel om te gaan met IAA.
  • Dat we in breder verband meer diensten zullen leveren aan personen met een digitale identiteit van een andere organisatie. Nu doen we dat al voor externe studenten door ze te voorzien van wifi, middels Eduroam of ze in de regio op weg te helpen, middels Route35. Een ander voorbeeld is toegang tot onze publieke taken voor andere EU burgers.
  • Dat sterke authenticatie de standaard inlogmethode zal worden voor netwerktoegang en voor applicaties die geen ‘step-up’ authenticatie ondersteunen.

Scope van IAA

Dit beleid is van toepassing op alle toegang tot informatie. Doorgaans wordt informatie digitaal opgeslagen, maar dit beleid is ook van toepassing op papieren (analoge) informatie. De scope is daarom:

  • Alle applicaties en systemen van de onderwijsinstelling of diensten die informatie bevatten of transporteren. De applicatielijst zoals deze bij ons in TopDesk beheerd wordt middels de softwarekaarten geldt in deze als bron.
  • Alle ruimtes waar informatie bewaard wordt, aangezien soms fysieke toegang tot een ruimte impliciet toegang geeft tot (analoge) informatie.

Mijn volgende blog zal gaan over de principes voor Identificatie.

Trendmatcher … bedankt!

Ik had, net als veel anderen, al afscheid genomen van Willem Karssenberg, maar toen hij zich afvroeg of hij de bijdragen aan zijn afscheidsboek kon delen, dacht ik: ik leg het toch even op mijn eigen blog ook vast.

Dus bij deze:

Beste Willem,

op 9 november 2006 waren we te gast bij Gilde Opleidingen in Venlo voor de platform dag van “BVE-Leren”. Daar vroeg je in de pauze rechtstreeks aan mij “Joël, waarom ga je ook niet bloggen?”. Rechtstreekse vragen werken bij mij het best en tot op dat moment dacht ik dat bloggen iets voor ‘gevorderden’ of ‘bekendere mensen’ was. Het zette wel een knop in mijn hoofd om, waarmee iets op gang gebracht werd! Namelijk dat ik schrijven leuk vind, het mijn eigen leerproces helpt, het kon uitgroeien tot een soort vaste rol als edublogger op conferenties en uiteindelijk ook andere schrijfklussen.

Overigens was het thema van die dag “ICT-ondersteuning in de leeromgeving van de toekomst: Wat betekent dit voor morgen?”. Nog steeds actueel dus en passend bij je alias: TrendMatcher! Jouw blogs hebben dit thema door de jaren heen helpen realiseren, nog afgezien van het ‘netwerk-effect’. Namelijk dat jij bloggen-voor-onderwijs-en-ict op de kaart hebt gezet en anderen net als ik dat ook gingen doen.
Dank voor het aanwakkeren, de samenwerking tijdens conferenties en het onvermoeibaar delen van alles wat je ontdekte!

Geniet van de tijd die voor je ligt!

BlockChain in Education: Proof of Stake?

Het verzegelen van het BitCoin netwerk kost enorm veel energie. Op dit moment zo’n 31 TWh. Waarom dit zoveel energie kost is hier begrijpelijk gedemonstreerd. Terecht dat mensen hier kritisch over zijn. Is het dan wel juist om een ander type kapitaal (sociaal) daarop vast te leggen? Zoals (de waarmerken van) leerresultaten van het onderwijs? Ik gebruik leerresultaten overigens als vervanger van de term micro-credentials en diploma’s.

Het algoritme dat zoveel energie slurpt heet “Proof-of-Work”. De opvolger heet Proof-of-Stake en ze worden hier vergeleken. Vrij vertaald: je kunt bewijzen dat je een belang hebt en als je verkeerd loopt te verzegelen kun je gestraft worden. Voor een diepe duik kijk hier. Hoe groot je belang is wordt bepaald door o.a. te kijken naar hoeveel blokken je al verzegeld hebt.

Een blok maken kost op zichzelf helemaal niet zoveel energie: je verzamelt de data van de laatste transacties, het waarmerk van het vorige blok en je berekent het totale waarmerk of hash van dit nieuwe blok. Openbare wiskunde dat een Smartphone zou kunnen doen.

Als collectief tot consensus komen zorgt voor controle. Dat de mijnwerker geen data loopt aan te passen. Bij digitaal geld is overduidelijk waarom: 2x hetzelfde geld uitgeven of de komma verplaatsen als iemand geld overmaakt enzo. Speelt dit echter bij het uitreiken van leerresultaten of microcredentials in het onderwijs? Je wilt tenslotte niet dat diploma-waarmerken bij anderen terecht komt. Dat zette me aan het denken zonder dat ik echt verstand heb van de cryptografie erachter.

Een BlockChain ontwerpen waarbij scholen autorisatie verleend moet worden op basis van het scholenregister van de DUO’s van Europa lijkt me onhandig. Behalve dat het moeilijk te beheren valt wil je ook informeel leren ondersteunen. Verder moeten ook niet-publiek bekostigde trainingen en cursussen hun leerresultaten kunnen plaatsen. Het liefst moet toegang dus open zijn.

Dus wat vragen op een rij:

  • Zou er een mechanisme te verzinnen zijn waarbij een onderwijsinstelling even veel leerresultaten mag indienen als dat het zelf waarmerkt in een blok, als tegenprestatie?
  • In het begin heb je dan een kip-en-ei probleem, omdat niemand iets kan indienen kan er niets verzegeld worden en als er niets te verzegelen valt kun je niets indienen etc. Zou je dit gefaseerd kunnen invoeren, met een beginbuffer van gratis ‘verzegeling’? Of een opstartfase met wel degelijk beperkte toegang voor een aantal pilot-deelnemers?
  • Hoe voorkom je spam waarbij iemand het netwerk overspoelt met lege leerresultaten en deze ook onder een andere identiteit verzegeld?
  • Zou het aantal leerresultaten dat een instelling verzegelt, geteld kunnen worden als een ‘token’? Per duizend of miljoen leerresultaten ofzo? Zouden die tokens zelf weer ingezet kunnen worden om leerresultaten in te dienen? Zou je deze token een ‘coin’ kunnen noemen? 😉
  • Zou iemand zulke coins kunnen verliezen als het verzegelen van blocks steeds misgaat?
  • Zou er tussen het voorstellen van een block en het verzegelen ervan een controle-ronde kunnen plaatsvinden? Waarbij iedereen die een transactie indiende meekijkt of zijn eigen data niet is aangepast? En er dus consensus ontstaat over de authenticiteit van de data? En dat hiervoor een meerderheid voldoende is als één van de indieners zit te suffen (z’n systeem offline is)?
  • Zou het voor instellingen grappig zijn als ze zien wie voor wie verzegelt?

In dit model zijn dus alle uitdelers van microcredentials de ‘mijnwerkers’ of verzegelaars. Als knooppunten kopiëren ze ieder voor zich de hele credential-blockchain. De student zelf moet natuurlijk kosteloos bij z’n waarmerk kunnen komen en deze drempelloos kunnen tonen.

Enfin, meer vragen dan antwoorden. Iemand met iets meer cryptografie en ‘consensus’ achtergrond die dit beter zou verzinnen?

Technologieverkenning: Blockchain voor SURFnet

Het ene rapport is nog maar net uit en de volgende komt al weer. Zeker geen klacht hoor, alleen mijn leeslijst groeit sneller dan ik kan verwerken. 😉
Daarnaast denk ik dat veel mensen al een tijd dachten, wat zou SURFnet nou van BlockChain vinden? Juist omdat we nog in de ‘infrastructuur’ fase van het fenomeen zitten en SURF zich richt op fundamentele technologieën of basisvoorzieningen die breed inzetbaar zijn voor zijn leden. Vandaar dat ik erg nieuwsgierig was naar de technologieverkenning die gisteren verscheen. (Kleine disclaimer: mijn werkgever is tevreden lid van de stichting en we gebruiken een aantal SURF diensten.)

Ik merk dat ik berichtgeving over BlockChain niet onbevangen lees, wat verdacht is natuurlijk. Maar ja, het besef is al de helft dacht ik zo. Andere fenomenen die vroeg in de hypecycle zitten trekken mijn aandacht minder, dus als een rapport daarover enthousiasme tempert, stoort het me niet.
Bij het bericht over BlockChain lees ik: “Conclusie is dat blockchain nog weinig concrete gebruiksredenen heeft.” Veel lauwer dan dit kun je het niet krijgen. Hype is heet, ik weet het en overspannen broeierig doen stoort mij ook, maar het rapport ademt onderkoeling.  Wellicht aan te raden als je een reality-check nodig hebt.
Overigens is onderstaand slechts ingegeven door mijn eigen kennis natuurlijk.

Over de vraag wanneer BlockChain geschikt is:

  • Wantrouwen: Een uitgangspunt van blockchains is dat er sprake is van wantrouwen tussen partijen over de informatie opgeslagen in een gezamelijke database en de veranderingen daarvan.
    Ja en nee: betrokkenen bij een transactie moeten elkaar nog steeds vertrouwen dat de transactie inhoudelijk klopt. Alleen: je hebt later de betrokkenen niet meer nodig om aan te tonen dat de informatie klopt en onveranderd is. De verificatie hoeft ook niet ‘uit de database’ te komen van de belanghebbenden.
  • Geen Trusted Third Party: Specifiek is blockchain geschikt als de TTP niet wordt vertrouwd met het correct uitvoeren van databasemutaties. Ja, maar dat is toch meestal niet het punt? Je hebt geen derde partij nodig die je de sleutels geeft voor versleuteling. Zoals dat nu gebeurt bij digitaal ondertekenen, maar dan met een digitale natte handtekening. Vanwege het decentrale karakter en de gebruikte protocollen worden sleutels aan de lopende band gegenereerd toch?
  • Transparantie en onmuteerbaarheid: dat is inderdaad een probleem voor privacy-gevoelige informatie en het ‘recht vergeten te worden’. Eric Verhelst heeft dit ook uitgebreid toegelicht. Wat ik echter mis is hoe het scheiden van inhoud en waarmerk toch nuttig kan zijn. Ik zou echt meer willen weten over hoe een openbaar waarmerk waarvan de inhoud op traditionele manieren wordt uitgewisseld voor problemen zorgt.
  • Meerdere schrijvers en business model voor miners:  Om een blockchain meerwaarde te laten bieden boven een TTP, is het noodzakelijk dat er meerdere onafhankelijke partijen zijn die de blokken maken (miners) en het moet aantrekkelijk zijn dat te doen. Eens, vandaar dat ik de Proof-of-Work niet zo ethisch verantwoord vindt.

Verder ben ik het met hun conclusie een heel eind eens. Ik denk alleen dat zin 1 de stap in zin 2 erg ontmoedigt:

Voor een concrete roadmap, of een beslissing hier zwaar op in te zetten, is het ons inziens te vroeg, de technologie is te onvolwassen en de toepassingen zijn nog niet concreet genoeg. Het is echter wel te overwegen om de technologie verder te leren kennen door Proof-of-Concepts te doen, en om samen met de achterban verder op zoek gaan naar toepassingen. 

Wie gaat nog iets overwegen als je je vingers gaat branden aan een onvolwassen technologie? Welke school loopt er vaak zo langs het innovatierandje dat ze er niet bang voor zijn? Zo klinkt het vooral als een aanmoediging om niets te doen.

De use-cases in het rapport begeven zich begrijpelijkerwijs op het terrein waar Surf diensten biedt:

  • Het vastleggen van attributen of kenmerken van identiteiten. Dit zou de werking van SURFconext beïnvloeden. In deze ‘federatie’ worden gegevens van personen, zo minimaal mogelijk, uitgewisseld. Zodat al onze kernsystemen en digitaal lesmateriaal deze niet apart hoeven te administreren. Het vastleggen hiervan op een BlockChain heeft potentieel. Zelf ben ik voor identiteiten met hun kenmerken nieuwsgierig naar de ontwikkelingen van “Decentralized Identifiers (DIDs)”.
  • Het uitdelen van certificaten (bekend van het slotje in de browser en https etc.) zodat transparant is welke partij welk certificaat heeft aangevraagd.
  • Het vastleggen van DNS gegevens op de BlockChain, oftwel welk domeinnaam is van wie.
  • Studievoortgang op de BlockChain. Velen en ik ook zien deze natuurlijk als killer-applicatie. De nadelen die de huidige technologie heeft onderschrijf ik wel en komen neer op dat je zowel weet van ontvanger als uitgever dat ze zijn wie ze zeggen te zijn. Zonder dat alles openbaar is.

Het rapport eindigt:

Voor een concrete roadmap voor SURFnet rond de toepassing van blockchains, of een beslissing hier zwaar op in te zetten, is het ons inziens nog te vroeg. Verder de technologie leren kennen door Proof-of-Concepts uit te voeren, aangevuld met samen met de achterban verder op zoek gaan naar toepassingen, is echter zeker wel te overwegen.

Waar ik eigenlijk op hoopte is dat het rapport concreter zou zijn in wat Surf nu zelf op dit gebied gaat doen. Wellicht hangt dat samen met hun opdracht en laat het geen ruimte over voor experimenteren met jonge technologie.

Zoals het er nu staat lijkt het alsof onderwijsinstellingen zelfstandig moeten experimenteren en dat Surf geen rol heeft in de ondersteuning hierop. Al is het maar om expertise te delen, iets dat ik normaal gesproken op andere terreinen heel erg waardeer van ze.

Samengevat: voor een technologieverkenning is het rapport precies dat, niet meer en niet minder. Maar ik heb wel een paar oprechte vragen:

  • Als onderwijsinstellingen Proof-of-Concepts uitvoeren, volgt SURF deze dan? Passief of actief? Met inbreng van expertise of op andere manieren faciliterend?
  • Ligt de focus van SURF op die BlockChain toepassingen die ze zelf erna voor de leden als voorziening kan aanbieden?
  • Of doet SURF komende 2 à 3 jaar gewoon even niets? Dat zou voor de verwachting in ieder geval duidelijk zijn. 😉