Eine Identität für alles und jeden

[vc_row][vc_column][vc_custom_heading text=“Eine Identität für alles und jeden“ font_container=“tag:h1|font_size:48|text_align:left“ use_theme_fonts=“yes“ css=“.vc_custom_1638525027854{margin-top: -25px !important;}“][vc_custom_heading text=“Mit Self-Sovereign Identities zu mehr digitaler Selbstbestimmung“ font_container=“tag:h2|font_size:28|text_align:left|color:%23676b6d“ use_theme_fonts=“yes“ css=“.vc_custom_1638525041105{padding-bottom: 10px !important;}“][vc_column_text]Benjamin Leiding, TU Clausthal[/vc_column_text][ultimate_spacer height=“15″ height_on_tabs=“15″ height_on_tabs_portrait=“15″ height_on_mob_landscape=“15″ height_on_mob=“15″][/vc_column][/vc_row][vc_row][vc_column][vc_custom_heading text=“Kurz & Bündig“ font_container=“tag:h2|font_size:34|text_align:left“ use_theme_fonts=“yes“ css=“.vc_custom_1631091070753{margin-top: -25px !important;}“ el_class=“box-headline“][vc_row_inner el_class=“box-content-wrapper“][vc_column_inner][vc_column_text]Im Gegensatz zu den klassischen zentralen Identitätsmanagementkonzepten ermöglichen Self-Sovereign Identities ein nutzergesteuertes Identitätsbereitstellungsmodell, bei dem die User den Zugriff und die gemeinsame Nutzung ihrer Daten auf der Grundlage des Wissensbedarfs mithilfe der Konzepte von DIDs, DID-Dokumenten und überprüfbaren Angaben steuern. Darüber hinaus können mittels DID-basierter SSI Systeme auch Identitäten für intelligente Maschinen und Software Services realisiert werden.[/vc_column_text][/vc_column_inner][/vc_row_inner][/vc_column][/vc_row][vc_row css=“.vc_custom_1519752670572{margin-top: -10px !important;}“][vc_column][ultimate_spacer height=“30″ height_on_tabs=“15″ height_on_tabs_portrait=“15″ height_on_mob_landscape=“15″ height_on_mob=“15″][vc_column_text]Beflügelt durch die fortschreitende und tiefgreifende Digitalisierung unseres Alltages werden auch traditionell-analoge Konzepte in die digitale Welt übertragen – z.B. Identitäten. Wobei wir in diesem Kontext nicht nur von menschlichen Identitäten sprechen, sondern den Begriff verallgemeinern und auch auf (intelligente) Maschinen, Software Services, etc. anwendbar machen. Ähnlich wie die analogen Identitäten sind auch deren digitale Gegenstücke sowie deren Transition hin zu digitalen Identitäten nicht frei von Problemen und Herausforderungen.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]Klassische Identitätslösungen wie Personalausweise oder Firmenausweise sind zentralisiert strukturiert und werden entsprechend von einer Zentraleinheit verwaltet und gesteuert – z.B. dem Staat bzw. einer Firma. Deren digitale Pendants funktionieren nach demselben Prinzip, wobei die Verfahren zur digitalen Repräsentation der Benutzeridentität sowie zur Validierung und Authentifizierung in der Regel auf einem asymmetrischen Schlüsselkonzept aufbauen, bei dem das Schlüsselmaterial die digitale Identität eines Nutzers darstellt.

Infrastrukturen für öffentliche Schlüssel (Public Key Infrastructures – PKIs) sind nicht nur das gängigste System für die Verteilung und Verwaltung öffentlicher Schlüssel, sondern auch für die Sicherstellung einer korrekten Zuordnung zwischen einem öffentlichen Schlüssel und dessen Besitzer. Das zentralisierte Vertrauensmodell für die Identitätsauthentifizierung nutzen hierbei hierarchisch strukturierte zentrale Behörden, während etwaige Alternativlösungen wie das PGP Web of Trust (WoT) einen dezentralen Ansatz verfolgen.

Die meisten PKI-Systeme stützen sich auf zentrale Datenbanken und eine Kontrollinstanz zur Verwaltung sowie Speicherung der Schlüssel, welche eine einfache und effiziente Handhabung erlauben. Zentrale Kontrollstrukturen sind in der Regel aber auch Single-Point-of-Failure (SPOF) – wenn diese kompromittiert werden, stellt es eine direkte Bedrohung für die digitalen Identitäten der Benutzer dar. Ähnliche Sicherheitsprobleme könnten auch auftreten, wenn eine nationale Behörde eine Zertifizierungsstelle aus Überwachungsgründen zur Zusammenarbeit zwingt. Ein weiterer Nachteil zentralisierter Datensilos und des zentralisierten Identitätsmanagements ist die fehlende Interoperabilität zwischen den einzelnen Datensilos. Was aus Sicht des Anbieters zu einem günstigen – und gewünschtem – Lock-in-Effekt und aus Sicht des Endnutzers zu diversen Nachteilen führt.

Im Gegensatz zu den zentralisierten PKI Systemen gibt es bei dezentralen Lösungen wie beispielsweise dem PGP WoT keinen SPOF. Dennoch hat es einige andere Nachteile, wie z.B. fehlende Anreize für die Schlüsselüberprüfung und fehlende Bestrafungen, um die Benutzer zu motivieren, sich an die Überprüfungsregeln zu halten.[/vc_column_text][vc_custom_heading text=“Selbstbestimmte Identitäten – Self-Sovereign Identities“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“ use_theme_fonts=“yes“ css=“.vc_custom_1638525165136{padding-bottom: 10px !important;}“][vc_column_text]Als Alternative zu den altehrwürdigen Identitätskonzepten positionieren sich die sogenannten Selbstbestimmten Identitäten (Self-Sovereign Identities – SSIs). Eine SSI überträgt den eigentlichen Endnutzern und nicht den Organisationen, die traditionell die Identität zentralisiert managen und verwalten, die Verantwortung für Entscheidungen über ihre eigene Privatsphäre und die Offenlegung von persönlichen Informationen und Berechtigungsnachweisen.

SSI Systeme, die auf dezentralen Identifikatoren (Decentralised Identifiers – DIDs) basieren, nutzen Ledgers oder Blockchains als verteilte Speichersysteme, die zentralisierte und inkompatible Datensilos durch eine kooperative gemeinsame Speicherressource ersetzen.

Wie sieht das Ganze in der Praxis aus? Nehmen wir das Beispiel des Altersnachweises zum Konsum von Alkohol. Üblicherweise wird im Zweifel die Vorlage eines Personalausweises verlangt, welcher für die Überprüfung des Alters viel zu viele irrelevante private Informationen enthält, z.B. Geschlecht, Adresse, Geburtsort, Staatsangehörigkeit, Augenfarbe, Körpergröße. Notwendig wäre nur das Alter oder – wenn man es noch genauer nimmt – nur ein Nachweis der Volljährigkeit.[/vc_column_text][vc_custom_heading text=“Dezentrale Identifikatoren“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“ use_theme_fonts=“yes“ css=“.vc_custom_1638525208426{padding-bottom: 10px !important;}“][vc_column_text]Das Konzept der DIDs wurde vom W3C vorgeschlagen und standardisiert. DIDs bieten eine Identität, die von der besitzenden Entität kontrolliert wird, während sie gleichzeitig unabhängig von einem zentralisiertem Identitätsanbieter oder einer Zertifizierungsstelle ist.
Ein DID (did:example:123456789abcdefghi) besteht aus drei Teilen: Erstens dem so genannten Schema “did”, zweitens der Methode “example” und schließlich dem methodenspezifischen Bezeichner “123456789abcdefghi”. Der Schema-Teil erklärt ganz einfach, dass es sich um ein DID handelt. Eine DID-Methodenspezifikation legt fest, wie ein DID und das dazugehörige DID-Dokument erstellt, gelesen, aktualisiert und gelöscht werden. Im letzten Abschnitt des Beispiels wird der eigentliche eindeutige Bezeichner beschrieben.[/vc_column_text][vc_single_image image=“28356″ img_size=“large“ add_caption=“yes“][vc_custom_heading text=“DID Dokumente“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“ use_theme_fonts=“yes“ css=“.vc_custom_1638525230436{padding-bottom: 10px !important;}“][vc_column_text]Ein DID selbst ist im Wesentlichen eine URL, die einem Nutzer zugeordnet ist und zu einem sogenannten DID-Dokument auflöst. DID-Dokumente beschreiben, wie der entsprechende DID zu verwenden ist. Diese bestehen aus einer Referenz (ID), die sie mit dem entsprechenden DID verknüpft, öffentlichen Schlüsseln (public keys), die zu Überprüfungszwecken verwendet werden können, Authentifizierungsmethoden (authentication) zur Authentifizierung eines DID oder der besitzenden Entität.

Mittels der Authentifizierungsmethoden kann ein DID-Subjekt kryptografisch nachweisen, dass es mit einem DID assoziiert ist. Der Nachweis erfolgt durch Auflösung des DID in ein DID-Dokument gemäß seiner DID-Methodenspezifikation. Der Nachweis der Kontrolle über den in einem DID-Dokument angegebenen öffentlichen Schlüssel erfolgt über einen signaturbasierten Anfforderung-Antwort-Mechanismus.

[/vc_column_text][vc_custom_heading text=“Verifiable Claims“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“ use_theme_fonts=“yes“ css=“.vc_custom_1638525263692{padding-bottom: 10px !important;}“][vc_column_text]Allerdings reichen DIDs und DID-Dokumente allein noch nicht aus, um eine digitale Identität zu erschaffen – es fehlt ein Konzept zur Beschreibung der Attribute der Nutzer, z.B. Alter und Bildungsabschluss. Überprüfbare Behauptungen (Verifiable Claims) überwinden dieses Problem und ermöglichen es einer Entität, selektive Verifiable Claims auf sich selbst zu sammeln, die dann mit der DID und dem DID-Dokument verknüpft werden und so eine Identität abbilden. Verifiable Claims werden von einem Verifiable Claim Aussteller (Staatliche Behörde für das Alter, oder Universität für den Uni-Abschluss) ausgegeben und können kryptografisch verifiziert werden.

Wenn wir zurück zu unserem vorherigen Beispiel gehen, könnte ein solcher Verifiable Claim lauten: Alice ist älter als 18 und darf daher Alkohol konsumieren. Das exakte Alter ist nicht relevant, solange es über einem bestimmten Schwellenwert liegt, der Barkeeper prüft lediglich den Verifiable Claim und kontrolliert, dass dieser mit der von Alice kontrollierten DID verbunden ist. Wichtig ist, dass der Verifiable Claims Aussteller dem Barkeeper als vertrauenswürdige Institution bekannt ist, z.B. als staatliche Einrichtung. Ein von Alice selbst ausgestellter Verifiable Claim wäre dementsprechend nicht ausreichend.

[/vc_column_text][vc_custom_heading text=“Identitäten für intelligente Maschinen“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“ use_theme_fonts=“yes“ css=“.vc_custom_1638525301116{padding-bottom: 10px !important;}“][vc_column_text]Während die bisherigen Beispiele sich auf menschliche Identitäten beziehen, bedarf es in einer hochgradig technologisierten Welt auch adäquater Konzepte, die intelligente Maschinen und Software Services berücksichtigen. Als Beispiel soll hier die Machine-to-Everything (M2X) Economy dienen. Die M2X Economy ist das Ergebnis von Interaktionen, Transaktionen, Kollaborationen und Geschäftstätigkeiten zwischen Menschen, autonomen und kooperativen intelligenten Maschinen, Software-Agenten und physischen Systemen.

Ein essenzieller Bestandteil sämtlicher wirtschaftlicher Beziehungen der M2X Economy sind die Identitäten der beteiligten Kooperationspartner. Von der jeweiligen Identität des Gegenübers hängt ab, wie viel Vertrauen wir ihm/ihr entgegenbringen, welches Rechtssystem anwendbar ist. Was auf den ersten Blick trivial klingt, ist komplizierter als angenommen, schließlich können wir nicht einfach jede Maschine mit einem Personalausweis ausstatten. Wir benötigen eine Art Maschinenausweisdokument als funktionelles Äquivalent zum Personalausweis. Darüber hinaus müssen Menschen und Maschinen in der Lage sein, sich gegenseitig zweifelsfrei zu identifizieren.

Im Zusammenhang mit dem M2X-Ökosystem kann eine DID-basierte Identitätslösung in Kombination mit Verifiable Claims auf vielfältige Weise genutzt werden. In erster Linie können DIDs und entsprechende Identitäten für alle Teilnehmer des M2X-Ökosystems erstellt werden, z.B. eine DID/Claim-Kombination für die Fahrzeugidentifikationsnummer (VIN) eines Autos oder ein DID für einen Menschen, der Dienstleistungen nutzt oder anbietet. Mit DIDs können wir auch digitale Zwillinge von analogen Objekten oder Entitäten für digitale geschäftliche Kollaborationen, Interaktionen und Transaktionen erstellen. Darüber hinaus ermöglichen DID-basierte SSIs auch einen sicheren und privatsphärewahrenden Ansatz für die gemeinsame Nutzung von Daten, da jede Einheit nicht auf eine Identität (DID) beschränkt ist, sondern Tausende von DIDs, DID-Dokumenten und Verifiable Claims haben kann, die in verschiedenen Szenarien nützlich sind und mit verschiedenen Teilnehmern geteilt werden können.[/vc_column_text][vc_custom_heading text=“Fazit“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“ use_theme_fonts=“yes“ css=“.vc_custom_1638525343274{padding-bottom: 10px !important;}“][vc_column_text]Im Gegensatz zu den klassischen zentralen Identitätsmanagementkonzepten ermöglichen Self-Sovereign Identities ein nutzergesteuertes Identitätsbereitstellungsmodell, bei dem die User den Zugriff und die gemeinsame Nutzung ihrer Daten auf der Grundlage des Wissensbedarfs mithilfe der Konzepte von DIDs, DID-Dokumenten und überprüfbaren Angaben steuern. Darüber hinaus können mittels DID-basierter SSI Systeme auch Identitäten für intelligente Maschinen und Software Services realisiert werden.

(Bildquelle: Adobe Stock | 403050002 | nadia_snopek)[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][ult_dualbutton btn_hover_style=“Style 2″ btn_border_style=“solid“ btn_color_border=“#ffffff“ btn_border_size=“2″ btn_alignment=“left“ dual_resp=“off“ button1_text=“Einzelheft kaufen“ icon_link=“url:https%3A%2F%2Fwww.im-io.de%2Fproduct%2Flerngroesse-eins%2F|title:Lerngr%C3%B6sse%20Eins“ btn1_background_color=“#f3f3f3″ btn1_bghovercolor=“#f07d00″ icon=“Defaults-book“ icon_size=“22″ icon_color=“#f07d00″ icon_hover_color=“#ffffff“ button2_text=“Jetzt abonnieren“ btn_icon_link=“url:https%3A%2F%2Fwww.aws-institut.de%2Fim-io%2Fabo%2F|title:Abo||“ btn2_background_color=“#f3f3f3″ btn2_bghovercolor=“#f07d00″ btn_icon=“Defaults-chevron-right“ btn_icon_size=“22″ btn_icon_color=“#f07d00″ btn_iconhover_color=“#ffffff“ divider_text=“oder“ divider_text_color=“#f07d00″ divider_bg_color=“#ffffff“ btn1_text_color=“#f07d00″ btn1_text_hovercolor=“#ffffff“ btn2_text_color=“#f07d00″ btn2_text_hovercolor=“#ffffff“ title_font_size=“desktop:20px;“ btn_border_radius=“30″ title_line_ht=“desktop:22px;“ btn_width=“280″][/vc_column][/vc_row]