Die geschichte der selbstsouveränen identität

Dieser Artikel ist auch auf Französisch, Englisch und Spanisch verfügbar.

Die Geschichtedes Konzepts der selbstsouveränen Identität (SSI) ist relativ kurz. Zunächstwar die dezentrale Identität nur ein Thema für hochspezialisierte Fachleute,die sich Sorgen um den Datenschutz im Zusammenhang mit Identitäten imInternet machten.

Das Interessean diesem Phänomen wuchs über diese Gemeinschaft hinaus, da es zu einem Anstiegvon Datenschutzverletzungen kam. Bei diesen Datenschutzverletzungenwurden Millionen personenbezogener Daten von großen Unternehmen wie Yahoo,Equifax, eBay, Uber und anderen gestohlen. Es folgte die Blockchain-Technologiemit ihrer Fähigkeit, Systeme zu schaffen, die betrugsresistent und sicherersind als die zuvor geschaffenen. Dies führte zu einem Drang zur Dezentralisierungder Identität.

Dieöffentliche Besorgnis über den Datenschutz und die Sicherheit erreichte einsolches Ausmaß, dass die Regierungen begannen, diesen Bereich mit Gesetzen wieder Allgemeinen Datenschutzverordnung (GDPR) in Europa oder demCalifornia Consumer Privacy Act (CCPA) zu regeln.

Pretty Good Privacy

1991 war dasProgramm Pretty Good Privacy (PGP) von Phil Zimmermann eine der erstenImplementierungen eines auf öffentlichen Schlüsseln basierenden Verschlüsselungsschemas. Dieses System legte vor der massiven Nutzung desInternets den Grundstein für das Konzept des dezentralen Vertrauensmodells, ausdem später das Modell der selbstsouveränen oder dezentralen Identitäthervorging.

Umverschlüsselte Nachrichten zu versenden, mussten die Benutzer bei PGP vor derKommunikation kryptographische Schlüssel austauschen. Bei PGP wird durch diesenSchlüsselaustausch allmählich ein Vertrauensnetz aufgebaut: Die Benutzertauschen ihre öffentlichen Schlüssel mit ihren Freunden und Bekannten aus, diesie wiederum an ihre Freunde und Bekannten weitergeben und so weiter.

Durch diesesVerfahren entfällt die Notwendigkeit eines Dritten für denInformationsaustausch. Je mehr Personen den Schlüssel einer Person signieren,desto größer ist die Wahrscheinlichkeit, dass der Schlüssel sicher ist. DiesesKonzept ist das Web-of-Trust-Konzept. PGP wurde so populär, dass Partysveranstaltet wurden, um Leute zu treffen und Schlüssel auszutauschen.

Die sieben Gesetze der Identität

Das Konzeptder selbstsouveränen Identität begann mit The Seven Laws of Identity, das 2005 von Kim Cameron,einem Systemarchitekten bei Microsoft, geschrieben wurde. Die Theorie derIdentitätsgesetze beschreibt, wie ein modernes, flexibles und sicheresIdentitätsmodell aussehen sollte.

Für Cameronsollte dieses Identitätsmodell Informationen über einen Nutzer nur mitdessen Zustimmung preisgeben. Außerdem sollten so wenig Informationenwie nötig angezeigt werden. Wenn ein Nutzer zum Beispiel nachweisenmuss, dass er volljährig ist, sollte er nur sein Geburtsjahr angeben können.

In diesemModell werden omnidirektionale Identifikatoren für öffentliche Einrichtungen(wie Google.com) und unidirektionale Identifikatoren für private Einrichtungen(wie eine Einzelperson) erstellt, um die Privatsphäre zu schützen.

Damit dasSystem universell ist, muss es die Interaktion mehrerer Technologien undmehrerer Identitätsanbieter ermöglichen. Darüber hinaus sollte es so konzipiertsein, dass es die Benutzererfahrung für Menschen verbessert, nicht für Technologieoder Systeme.

In den späten2000er Jahren gab es mehrere Initiativen zur Erstellung einesInternet-Identitätsmodells. Das wichtigste war OpenID, das wir heute als"Login mit Facebook und Google"-Modell kennen. Diese Modellehaben mehrere Schwachstellen: zum einen die fehlende Privatsphäre undzum anderen die fehlende Identitätsüberprüfung, die sowohl die Nutzerals auch die Unternehmen betreffen.

Gleichzeitighaben wir ein offizielles europäisches Identitätsmodell auf derGrundlage von eIDAS (Gesetz über die elektronische Identität der EuropäischenUnion). Im Gegensatz zum Vorgängermodell hat dieses Modell eine starkeIdentität, wird aber von der Mehrheit der Bürger aufgrund der hohenKomplexität der Nutzung praktisch nicht genutzt.

Die Prinzipien der selbstsouveränen Identität

Das Konzeptder selbstverwalteten oder dezentralisierten Identität ist das Ergebnis derexplosionsartigen Verbreitung der Blockchain-Technologie, die einen starkenEinfluss auf den Sektor der digitalen Identität hat.

Der Begriff Self-SovereignIdentity wurde 2016 von Christopher Allen in seinem Artikel The Road to Self-Sovereign Identitygeprägt. In diesemArtikel erläutert Christopher Allen die Grundsätze, die jede selbstbestimmteIdentität leiten sollten.

Für Allen istes wichtig zu verstehen, dass die Identität einer Person zwangsläufig niemalsin digitaler Form existieren kann. Die selbstsouveräne Identität machtlediglich einige Aspekte der Person öffentlich und zugänglich. In diesem Modellmuss der Benutzer in der Lage sein, seine Identität zu kontrollieren.Sie sollten jederzeit in der Lage sein, sie einzusehen, zu aktualisieren odersogar auszublenden.

Der Nutzermuss jederzeit auf seine eigenen Daten zugreifen können, es darf keineversteckten oder unzugänglichen Daten seiner eigenen Identität geben.Andererseits sollten Sie nur Zugang zu Ihrer eigenen Identität haben und nichtzu der von anderen.

Identitätensollten für immer bestehen bleiben, oder zumindest so lange, wie derNutzer es wünscht. Dies darf nicht im Widerspruch zum "Recht auf Vergessenwerden" stehen: Der Nutzer muss die Möglichkeit haben, eineIdentität zu löschen, wenn er dies wünscht.

IdentitätsbezogeneInformationen und Dienste sollten leicht übertragbar sein, umsicherzustellen, dass die Identität eines Nutzers je nach Bedarf an mehrereOrte übertragen und dort gespeichert werden kann. Die Informationen müssenweltweit verfügbar sein, ohne dass der Nutzer die Kontrolle über seineIdentität verliert.

Der Benutzermuss der Verwendung seiner Identität zustimmen. Auch wenn andere Nutzer,z. B. das Unternehmen, für das Sie arbeiten, die Krankenkasse oder ein Freund,Daten übermitteln können, muss der Nutzer immer seine Zustimmung geben, damitdiese Daten gültig sind.

Bei derWeitergabe von Nutzerdaten sollten so wenig Informationen wie möglichweitergegeben werden, um die Transaktion durchführen zu können.

Die Rechte der Benutzermüssen respektiert werden. Wenn es einen Konfliktzwischen den Bedürfnissen des Identitätsnetzes und den Rechten der Nutzer gibt,muss das Netz zugunsten der Wahrung der Freiheiten und Rechte des Einzelnenentscheiden. Algorithmen und Systeme müssen transparent und offen sein.

Rebooting Web Of Trust: Die erste Initiative zur Organisation der Branche

ChristopherAllen organisierte die RWOT - Veranstaltungen (Rebooting Web OfTrust), um ein neues Identitätssystem auf der Grundlage des Konzepts eines dezentralenVertrauensnetzes zu schaffen. Die RWOT ist eine alle sechs Monatestattfindende Konferenz, auf der Fachleute mit unterschiedlichsten Hintergründenüber Identitätsfragen diskutieren.

Aus denGesprächen, die in diesem Forum geführt werden, werden anschließend WhitePapers erstellt, die den Identitätssektor entscheidend vorangebracht haben.Das erste Paper, das aus der ersten Veranstaltung im November 2015 hervorging,trug beispielsweise den Titel "Rebranding the Web of Trust", in dem der Begriff neu definiert undein neues Modell für die Elemente des Vertrauens mit einer modernerenDefinition erstellt wurde. Eine Liste aller veröffentlichten Whitepapers kannunter folgendem Link abgerufen werden: https://www.weboftrust.info/papers.html

DIF: Die große Ideenschmiede der SSI-Welt

Neben der RWOTwar der IIW (Identity Internet Workshop) das wichtigste Forum für dieIdentitätsbranche. Der erste Workshop wurde im Oktober 2005 mit dem Zielabgehalten, ein Forum zu schaffen, in dem die Fragen der Architektur,Governance usw. für Internet-Identitätsdienste und die ihnen zugrunde liegendenPhilosophien angesprochen werden könnten. Als Ergebnisdieser Veranstaltungen entstand die Notwendigkeit, die verschiedenen Denker derBranche zu SSI-Themen zu organisieren. So dienten sowohl RWOT als auch IIW alsGrundlage für die Gründung der DIF (Decentralized Identity Foundation) im Jahr2017, der wichtigsten Ideenschmiede in der SSI-Welt. Hunderte vonUnternehmen wie Microsoft, Hyperledger, Accenture, Sovrin und andere nehmendaran teil. Das DIF hat die Standardisierungsbemühungen in diesem Sektorangeführt. 

INATBA: Die Europäische Vereinigung für Blockchain-Fragen

Im Jahr 2019treibt die Europäische Union die Gründung der internationalenBlockchain-Allianz INATBA (International Association of TrustedBlockchain Applications) voran, um die Nutzung der Blockchain-Technologie zufördern. Sie hat mehr als hundert Mitglieder, darunter Accenture, Everis,Fujitsu, IBM, Deutsche Telekom, Telefónica, BBVA, IOTA, Ripple, Sovrin,ConsenSys oder Validated ID. Sie haben einespezielle Arbeitsgruppe, die sich mit Fragen im Zusammenhang mit demIdentitätssektor befasst. Besonders hervorzuheben ist das im November 2020veröffentlichte Whitepaper "Decentralised Identity: What's atStake?", das imNovember 2020 veröffentlicht wurde, sowie die Antwort auf die öffentliche Konsultation zum Entwurfder eIDAS-2-Verordnung, die einen Verbesserungsvorschlag enthält.

Sovrin: das erste große SSI-Netz

Parallel zurArbeit an der Definition von Konzepten, Protokollen und internationalenStandards entstehen mehrere Initiativen und Projekte rund um diedezentralisierte Identität. Das Sovrin-Netzwerk ist ein verteiltes,öffentliches, zugelassenes Netzwerk, das speziell für die Identität entwickeltwurde. Sovrin war das erste große dezentralisierte Identitätsnetzwerkund hatte großen Einfluss auf das aktuelle Modell. In Spanien wird der einzigeSovrin-Knoten von Validated ID gehostet. Im Jahr 2020wurde Trust Over IP (ToIP) als Ergebnis der Zusammenarbeitzwischen Unternehmen in internationalen Foren geboren. Die Idee entstand imJahr 2019 durch das Zusammentreffen mehrerer Bemühungen in den Bereichendigitale Identität, verifizierbare Credentials, Blockchain-Technologie undsichere Kommunikation. Bei diesen Bemühungen wurde die Notwendigkeit erkannt,zusammenzuarbeiten und eine interoperable Architektur für dezentrales digitalesVertrauen zu schaffen. Mehr als 300 Mitgliedsorganisationen und Einzelpersonengehören der ToIP Foundation an, darunter Accenture, Avast, British Columbia,IBM, MasterCard und viele andere.

Alastria: Die große nationale Initiative

In Spanien istAlastria das führende Netzwerk im dezentralisierten Identitätssektor.Das 2017 gegründete Unternehmen bezeichnete sich selbst als "das weltweiterste regulierte nationale Blockchain-basierte Netzwerk“. Sie wird von großenspanischen Unternehmen wie BBVA, Banco Santander, Iberdrola, Repsol und vielenanderen unterstützt und wurde mit dem Ziel gegründet, die Schaffung digitalerÖkosysteme durch die Bereitstellung einer gemeinsamen Plattform für dieZusammenarbeit zu beschleunigen. DieseInitiative geht über den Bereich der Identität hinaus, auch wenn sie einenwichtigen Schwerpunkt auf die Identität legt. Sie basiert auf derEthereum-Technologie und ist die erste Initiative, die sich speziell aufrechtliche Fragen konzentriert. 

Europa und die eIDAS Bridge

Alle obengenannten Akteure, außer vielleicht Alastria, sind weit von der Welt derRegulierung entfernt. Obwohl sich viele Identitäts-Wallets in der Entwicklungbefinden und mehrere Unternehmen wie Validated ID auf diesen Paradigmenwechselhoffen, ist der rechtliche Rahmen noch nicht ausgereift. Derzeit habenwir die eIDAS-Verordnung, die sich hauptsächlich auf PKIs und traditionelleZertifikate konzentriert.

Im Juni 2021 genehmigtedie Europäische Kommission einen neuen Entwurf dieser Verordnung, derbesagt, dass die neuen Identitäten der europäischen Bürger auf denPrinzipien der dezentralen Identität basieren und durch Identitäts-Walletsunterstützt werden. Diese Verordnung muss jedoch noch offiziell genehmigt undentwickelt werden.

Aus diesemGrund ist das Projekt eIDAS Bridge als Zwischenschritt entstanden. DasProjekt eIDAS Bridge ist eine Initiative der Europäischen Kommission (EC), umeIDAS als vertrauenswürdigen Rahmen für das ISS-Ökosystem zu fördern.

Später wurde eSSIFLab, ein weiteres vonder EU finanziertes Projekt, ins Leben gerufen, um eine eIDAS-Bridge-Implementierungbereitzustellen und die Interoperabilität zwischen den Implementierungenverschiedener Anbieter zu testen.

Die technischen Ergebnisse des von Validated IDentwickelten Projektsbestehen in der Verwendung verknüpfter Schlüssel qualifizierter Zertifikate fürSSI-Operationen. In den von Nacho Alamillo erstellten rechtlichen Unterlagenwerden die Teile der aktuellen Verordnung aufgezeigt, die geändert werdenmüssen, um diesem neuen Identitätsmodell gerecht zu werden, was anschließenddurch eIDAS 2.0 gelöst wird.

EBSI: Das große europäische Projekt

Die European Blockchain Services Infrastructure (EBSI)ist eine gemeinsame Initiative der Europäischen Kommission und der EuropeanBlockchain Partnership. Geboren im Jahr 2020, um die Blockchain-Technologie zunutzen, um die Schaffung grenzüberschreitender Dienste für öffentlicheVerwaltungen und ihre Ökosysteme zu beschleunigen, um Informationen zuüberprüfen und Dienste zuverlässiger zu machen.

Seit 2020 hatEBSI ein Netz von verteilten Knotenpunkten in ganz Europa eingerichtet, dasAnwendungen für ausgewählte Anwendungsfälle unterstützt. Es war dasReferenzprojekt in Europa für die ISS-Welt. EBSI und eIDAS 2 wurden unabhängigvoneinander geschaffen und von verschiedenen Gruppen verwaltet, haben sich aberim Laufe der Zeit angenähert.

eIDAS 2.0: Der letzte Horizont der SSI

Die eIDAS-Verordnungüber elektronische Identifizierung und Vertrauensdienste für elektronischeTransaktionen im Binnenmarkt wurde im Juli 2014 veröffentlicht. Dieseeuropäische Initiative war ein wichtiger Meilenstein in der Regulierung derIdentifizierung bei elektronischen Transaktionen. Diese Verordnung zieltedarauf ab, das Vertrauen in elektronische Transaktionen zu erhöhen, um denOnline-Handel zu fördern, und basierte auf Zertifikaten, Siegeln und derelektronischen Signatur von Dokumenten (Vertrauensdienste).

Die ersteeIDAS-Verordnung dient als globaler Maßstab, der die regulatorischenGrundlagen legt, die in den Vorschriften von Ländern außerhalb der EuropäischenUnion repliziert werden. Trotz der hohen Akzeptanz von Vertrauensdiensten ist dieAkzeptanz elektronischer Identifikationssysteme in der öffentlichen Verwaltungfast ein Jahrzehnt später noch sehr gering.

Daher wird imJuni 2021 ein neuer Vorschlag zur Änderung der eIDAS-Verordnung(bekannt als eIDAS 2) veröffentlicht. Diese Verordnung zielt darauf ab, deneuropäischen Bürgern eine digitale Identität für das gesamte EU-Gebiet zubieten, die es ihnen ermöglicht, personenbezogene Daten in einer Vielzahlvon Kontexten, einschließlich des privaten Umfelds, auszutauschen.

EIDAS 2basiert auf den Konzepten der dezentralisierten Identität. Es ist überraschend,dass dieses Modell, das seinen Ursprung in der alternativen Welt der Blockchainhat, als Grundlage für die neue europäische Identitätsverordnung diente.

Der nächstewichtige Meilenstein ist die Toolbox, eine Reihe von gemeinsamen Protokollen undInstrumenten, an der sowohl die Europäische Kommission als auch dieMitgliedstaaten arbeiten und deren erste Version voraussichtlich im Septemberdieses Jahres veröffentlicht wird.

.
Validated ID Team