Self Sovereign Identity

Digitale Freiheit durch SSI

Mit SSI stellt dieser Artikel ein dezentrales Paradigma vor, in dem die Nutzer in den Mittelpunkt gestellt werden. Sie können mit SSI ihre digitale Identität und die dazugehörigen Nachweise selbst verwalten.
Von 
CSO | 23. Dezember 2021 05:53 Uhr
Der Self-Sovereign-Identity-Ansatz ermöglicht eine sichere Nutzung von digitalen Prozessen.
Der Self-Sovereign-Identity-Ansatz ermöglicht eine sichere Nutzung von digitalen Prozessen.
Foto: HQuality - shutterstock.com

Die COVID19-Pandemie offenbart unsere bislang zurückhaltende Strategie in der Digitalisierung. Die im behördlichen Umfeld noch verwendeten Werkzeuge wie Papier- oder Scheckkartenbasierte Dokumente, Stempel und Siegel helfen uns in der digitalen Welt nicht weiter. Es geht aber nicht nur darum, umständliche analoge Prozesse durch digitale zu ersetzen. Zentrale ID-Provider bieten vielen Nutzern nicht die notwendige Vertrauenswürdigkeit. Fragen wie: "Was passiert mit meinen Daten, sind diese sicher und wer hat einen Einblick" sind hierbei entscheidend.

Um eine durchgängig digitale Umsetzung zu ermöglichen, muss die Identität der Teilnehmer bekannt sein. Doch das Internet und das verwendete Netzwerkprotokoll TCP/IP wurde ohne Identitäten entwickelt. Obwohl den Rechnern IP-Adressen zugeordnet werden können, sind die Nutzer im Netz unbekannt. Auch wenn die Anonymität beim Recherchieren und Informieren im Internet ein wichtiges Recht der Nutzer ist, es wird zum Problem bei digitalen behördlichen Vorgängen, beim Eröffnen eines Online-Bankkontos oder beim Mieten eines Fahrzeuges über das Internet oder eben auch beim automatischen Prüfen des Impfstatus.

Dies gelingt mit Hilfe der selbstbestimmten Identität (Self-sovereign Identity, SSI), die von Christopher Allen geprägt wurde. Sein Blogbeitrag liefert Antworten auf die größten Herausforderungen. SSI hat das Potential, digitale Prozesse zu ermöglichen und dabei vom Nutzer selbstbestimmt die eigenen Nachweise zu verwalten. Die Methode hilft den Nutzern selbst darüber zu entscheiden, welche Informationen sie offenlegen möchten. Dadurch unterscheidet sich SSI von Single-Sign-On-Lösungen oder zentralen Anmeldediensten, bei denen die Nutzer ein detailliertes Profil über ihre Identität in einem Nutzerkonto beim ID-Anbieter hinterlegen und die Kontrolle über die Daten abgeben.

Zu SSI gehören drei Rollen, ein Datenmodell sowie ein verbindendes Netzwerk und Datenspeicher.

  1. Der Nutzer digitaler Nachweise, deren identität nachweislich bestätigt wurde.

  2. Die Herausgeber von Nachweisen, deren Qualifikation von hoheitlicher Stelle verifiziert worden sind.

  3. Eine Überprüfende Instanz, die selbst wiederum den Nachweis erbringen muss, diese Überprüfung vornehmen zu dürfen.

Diese drei bilden ein Vertrauensdreieck. Dieses kann auch als SSI-Ökosystem bezeichnet werden, welches hinsichtlich Authentifizierung, Integrität und Vertraulichkeit ein Dreigespann darstellt und gleichzeitig die Struktur des Datenmodells vorgibt. Das Netzwerk und der Datenspeicher lässt sich durch den Einsatz einer Blockchain bzw. einer DLT (Distributed Ledger Technologie) oder prinzipiell auch über verteilte Datenbanken oder Verzeichnisdienste umsetzen. Die gegenwärtig in Deutschland entwickelten Projekte verwenden die Blockchain-Technologie.

Das SSI-Datenmodell.
Das SSI-Datenmodell.
Foto: Michael Sasdi

Der Herausgeber

SSI setzt einen Herausgeber voraus, der die Identität komplett bestätigt. Hierbei sollte es sich um eine vertrauensvolle Stelle handeln und nicht wie gegenwärtig um einen zentralisierten ID-Provider wie Google, Facebook, Apple und Microsoft, die rein wirtschaftliche Interessen haben. Normalderweise ist der Staat der Herausgeber und Beweisführer von Identitätsnachweisen. Deshalb ist es naheliegend, diesen auch für digitale Identitäten einzusetzen.

Es gibt aber nicht nur Identitätsnachweise. Aussteller von Nachweisen wie z. B. Einwohnermeldeamt, Straßenverkehrsamt, Schulen- und Hochschule, Unternehmen, Berufsverbände, Behörden, Qualifizierungsorganisation oder TÜVs müssen von höchster Stelle zertifiziert und als Aussteller anerkannt sein. Somit ergibt sich eine Vertrauenspyramide von höchster amtlicher Stelle an die nachgelagerten Stellen.

In Deutschland beginnt die Umsetzung von SSI mit dem elektronischen Personalausweis eID. Die Bundesdruckerei GmbH ist Generalauftragnehmerin des Bundesinnenministeriums und gibt in dieser Funktion seit 2010 die eID mit einem RFID-Chip heraus. Seit 2017 ist die Onlinefunktion automatisch freigeschaltet. Bei der Ausgabe der eID und der Übergabe einer PIN wird der Startschuss für eine digitale Identität eingeleitet. Der physische Anker ist die einmalige Überprüfung der Person. Diese persönliche Gegenüberstellung ist wichtig um Missbrauch und Identitätsdiebstahl zu verhindern.

Inhaber digitaler Identitäten

Die Datenschutzgrundverordnung (DSGVO) regelt die gesetzliche Grundlage für den Umgang mit personenbezogenen Daten. Das Recht auf Privatsphäre gilt als Grundrecht und muss ebenfalls im Cyberraum verwirklicht werden. Grundsätzlich verwalten die Bürger ihre physischen Dokumente selbst. Führerschein, Ausweis befinden sich in deren Brieftasche. Insofern ist es naheliegend, auch digitale Dokumente selbst zu verwalten. Hierfür wird ein Wallet in Form einer App auf dem Smartphone genutzt. Digitale Nachweise bieten gegenüber physischen den Vorteil, dass daraus nur jener Teil der prüfenden Instanz angezeigt werden kann, der wirklich relevant ist. Das können ganz unterschiedliche Eigenschaften wie der Name bei einer Personenkontrolle oder der Altersnachweis bei der Einlasskontrolle vor einem Club sein. Diese werden als verifizierte Identitätsdaten bezeichnet.

Wenn von einer Behörde Leistungen digital einem spezifischen Bürger zur Verfügung gestellt wird, muss sichergestellt werden, dass auch der richtige Adressat die Leistungen erhält. Hierbei hilft eine eindeutige ID, welche auf Basis der erhaltenen PIN und der eID in der "ID Wallet" App auf dem Smartphone erzeugt werden kann. Ein digitales Wallet ist eine Anwendung, die digitale Schlüssel verwaltet. Der Personalausweis wird zweimalig an das Smartphone gehalten, damit dieser mittels der NFC-Schnittstelle ausgelesen werden kann. Nach Eingabe der PIN innerhalb der ID Wallet und erfolgreicher Datenübertragung wird die Basis-ID durch die Bundesdruckerei direkt in die ID Wallet ausgestellt.

Vereinfacht ausgedrückt ersetzt die ID Wallet auf dem Smartphone nicht nur den Personalausweis und persönliche Daten wie Name, Anschrift, welche darauf abgespeichert sind sondern auch andere Nachweise wie Fahrberechtigungen und Zeugnisse. Die ID Wallet erlaubt es, digitale Identitätsinformationen zu empfangen, speichern, verwalten und zu senden.

Die verifizierende Instanz

Die Akzeptanzstellen - Die Hochschule, die Einlasskontrolle, der Grenzbeamte - benötigen verifizierbare digitale Nachweise der ID's und Berechtigungsnachweise (eng. Credentials) um deren Inhalte, Teile davon oder auch nur Aussagen über bestimmte Attribute in einem Prozess oder einer Anwendung zu nutzen und weiter zu verarbeiten. Dies geschieht im Idealfall in einem automatisierten Prozess durch die Verifizierung der digitalen Signatur. Der automatische Workflow kann auch an Eingangsschleusen umgesetzt werden. Auf eine aufwendige, fehlerbehaftete personelle Überprüfung kann im besten Fall verzichtet werden.

Nicht jede verifizierende Einheit ist berechtigt Prüfungen vorzunehmen. Wie bei einer physischen Personenkontrolle der Ausweis des Polizisten immer gezeigt werden muss, sollte sich der Nutzer auch im digitalen Umfeld darauf verlassen können, dass der Prüfer berechtigt ist. Das DIDComm-Protokoll macht keine Vorgaben und ermöglicht eine Implementierung. Die ID Wallet könnte protokollkonform zunächst eine Gegenauthentifizierung starten und sich den Berechtigungsnachweis einer höheren Instanz in der Vertrauenshierarchie zeigen lassen wie etwa die eines Bundesministeriums.

Falsche QR-Codes zur Identifizierungsaufforderung können jederzeit vom Nutzenden überprüft und aufgedeckt werden. Diese Deep-Links bestehen aus einer Domain und einem Pfad. Nach dem Scan eines QR-Codes wird die Domain auf dem Smartphone des Nutzers angezeigt. Dann kann dieser die Anfrage zulassen oder ablehnen. Des Weiteren könnte noch zusätzlich das Extended Validation SSL-Zertifikat der Domain ausgewertet werden.

Das SSI-Datenmodell

Das Datenmodell zeigt die Struktur und den Workflow der im System zu verarbeitenden Daten. Im W3C (World Wide Web Consortium) wurden dezentrale Kennungen (DIDs) definiert.

Eine DID wird vom Besitzer erzeugt, ist unabhängig von einer zentralen Instanz und einzigartig kryptographisch verifizierbar. Sie stellt eine neue Form von Uniform Resource Location (URL) dar. Ein DID identifiziert eine beliebige Person, Organisation oder auch Maschine. Dieser Standard ermöglicht eine plattformunabhängige Umsetzung von digitalen Identitäten. Bei DIDs handelt es sich um einen Kennzeichen-Typ, der der SSI-Forderung nach verifizierbaren digitalen Identitäten unter vollständiger Kontrolle des Eigentümers der Identität nachkommt. Eine digitale Identität besteht aus etlichen DIDs. Diese bestehen aus unterschiedlichen Identifizierungsmerkmalen (Identitätsattributen). User erstellen DIDs pro Service, was den Vorteil mitbringt, dass sie keine Spuren hinterlassen.

DIDs verweisen wiederum auf DID Dokumente. Hier werden alle Informationen darüber gespeichert, wie ein spezieller DID zu benutzen ist. In einem DID Dokument sind alle Metadaten enthalten, um den Besitz und die Kontrolle des dazugehörigen DID zuzuordnen. Diese Metadaten bestehen aus kryptographischen öffentlichen Schlüsseln (public keys), Informationen zu der Erstellung des DID und ein Verweis auf eine Referenz. Eine Referenz kann beispielsweise eine IP-Adresse sein, über die jede weitere Kommunikation zwischen zwei Parteien stattfindet.

Das jeweilige VC-Schema zu einem Hochschulabschluss sieht bspw. wie folgt aus:
transcript = { 'name': 'Transcript', 'version': '1.2', 'attributes': ['first_name', 'last_name', 'degree', 'status', 'year', 'average', 'ssn']} wovon z.B. einer überprüfenden Instanz wie einem zukünftigen Arbeitgeber nur die Information übergeben wird, dass die Zeugnis-Note besser als die Note 2 ist.

Netzwerk und Datenspeicher

Eine Blockchain ist eine Datenbank, die über ein Netzwerk verteilt ist. Transaktionen sind redundant an vielen verschiedenen Orten gleichzeitig gespeichert. Ihre Integrität ist durch die Speicherung von Hashwerten des jeweils vorangegangenen Datensatzes gesichert. Transaktionen werden zu Blöcken zusammengefasst und über das Blockchain-Netzwerk validiert und kryptographisch verkettet.

In vielen Projekten in Deutschland kommt das Blockchain Open-Source-Framework Hyperledger Indy von der Linux Foundation im SSI-Kontext zum Einsatz, das in Verbindung mit Aries auf den Standards des W3C aufsetzt. Für die Validierung mit Indy werden keine rechenintensiven Verfahren benötigt, da es sich um ein Netzwerk handelt deren Teilnehmer bekannt sind. Jeder Teilnehmer stellt einen Rechnerknoten zur Verfügung. Das kann die Hochschule, die Behörde oder die Führerscheinvergabe sein.

Ein Ökosystem verteilter Identitäten mit einer dezentralen Datenstruktur und Datenspeicherung kann durch den Einsatz einer Blockchain bzw. einer DLT (Distributed Ledger Technologie) betrieben werden. Hier liegen POC (Proof-of-Concepts) und Erfahrungen vor. Prinzipiell kann aber ebenfalls durch den Einsatz verteilter Datenbanken oder Verzeichnisdienste ein SSI-Netwerk aufgebaut werden.

Bei SSI werden nicht die Credentials selbst, sondern lediglich das Schema und die DID Dokumente des Herausgebers (in denen sich die zur Signatur des Verifiable Credentials genutzten Schlüssel befinden) in einer Blockchain abgespeichert. Zugriffe, wie oft oder gar von wem personenbezogene Daten erhoben wurden, werden ebenfalls nicht auf der Blockchain gespeichert. Ob ein Führerschein ausgestellt wird oder 80 Millionen - die Blockchain enthält kein einziges Byte mehr an Daten. Der Aussteller hat seinen Public Key ein einziges Mal in die Blockchain geschrieben und nur dieser wird bei der Abfrage benötigt.

Das Einzige was dort abgelegt wird, ist das Schema der Ziffernfolge der Nachweise und die Schlüssel, mit denen ein Peer-2-Peer ausgestelltes Verifiable Credential validiert werden kann. Es besteht also überhaupt nicht die Notwendigkeit, im Falle einer Korrumpierung des Systems, irgendwelche Inhalte aus der Blockchain löschen zu müssen. Sie beinhaltet keinerlei personenbezogene Daten.

Eine gemeinsame Infrastruktur von Werkzeugen, die den sicheren Austausch von Daten über die Blockchain ermöglicht und Peer-to-Peer-Messaging in verschiedenen Szenarien sowie durch das Datenformat interoperable Interaktion zwischen verschiedenen Blockchain unterstützt stellt eine effiziente SSI-Lösung dar.

Use Cases

Ein Identitätsökosystem kann staatlich ausgestellte Dokumente und gleichfalls jede Menge privatwirtschaftlich herausgegebene Dokumente berücksichtigen. Dies können neben Ausbildungsnachweisen und fachlichen Zertifikaten, Mitgliedsausweisen und Zugangsberechtigungen zukünftig auch Maschinendaten sein. Diese Daten können permanent oder mit Ablaufdatum und optional zusätzlich mit Widerrufsmöglichkeit ausgestattet sein. All die Beteiligten hängen in der Vertrauenskette untereinander und mit der Identität des Inhabers und des Ausstellers zusammen. Es ist also klar, dafür eine gemeinsame interoperable Infrastruktur zu verwenden und ein konsequentes digitales Wirtschaften zu ermöglichen.

Mit über 50 Millionen Euro fördert das BMWi (Bundesministerium für Wirtschaft und Energie) den Innovationswettbewerb "Schaufenster Sichere Digitale Identitäten". In Deutschland sind von der IDunion Anwendungsfälle in den sieben Bereichen E-Government, Bildung, Finanzwirtschaft, E-Commerce/Mobility, Identity Access Management, E-Health und Industrie/IoT angedacht. Bestimmte Strukturen bauen auf der SSI-Technologie auf. So ist geplant, dass Dateninfrastrukturen für Europa wie GAIA-X für den Anmeldeprozess SSI verwenden, da in sicherheitskritischen Fällen das Vertrauensniveau eines einfachen Kundenkontos nicht ausreicht und nur durch Identitäts-Verifizierung des Nutzers die notwendige Sicherheit ermöglicht wird. Im Projekt OPTIMOS 2.0 wird deshalb ein offenes Ökosystem entwickelt, mit dem Technologien und die Infrastruktur für die sichere Online-Authentifizierung mittels Mobilgeräten bereitgestellt werden.

Ein guter Anwendungsfall, in der die hier beschrieben Technologien zum Einsatz kamen war der Hotel-Check-in für Firmenreisende. Sowohl ein Nachweis hoheitlicher Herkunft (basierend auf dem Personalausweis) als auch ein Nachweis privater Herkunft (Firmenadresse) wurden dazu genutzt. Der "Hotelmeldescheines" konnte durch eine digitale Version ersetzt werden.

Normen

Die Architektur von SSI sollte die Zukunft der digitalen Identitätsverwaltung souverän, sicher und vertrauenswürdig im Hinblick auf die voranschreitende weltweite Digitalisierung gestalten. So wie wir unterschiedliche Ausweise oder Pässe akzeptieren, benötigen wir auch hier eine Einigung über deren digitale Entsprechungen. Diese müssen nach einem Standard kompatibel sein. Deshalb ist eine Durchgängigkeit der Identitäten wichtig, die dezentral Zugriffe ermöglichen. Die gegenseitigen Identitätsprüfung und Authentisierung müssen deshalb an einen sicheren Übertragungskanal gebunden und das zugrundeliegende Vertrauensmodell klar auch für verschiedene Dienstanbieter oder verschiedene Jurisdiktionen mit unterschiedliche Anforderungen an das Vertrauensniveau der Identitätsinhaber implementieren.

IDunion (ehemals "SSI für Deutschland") ist ein Anbieter, der solch eine SSI-Infrastruktur und damit ein offenes Ökosystem für dezentrale, selbstbestimmte Identitäten für natürliche Personen, Unternehmen und Dinge vorantreibt. Die Europäische Blockchain Service Infrastructure (EBSI) stellt eine SSI eIDAS Bridge als technische Implementierung bereit und ermöglicht ein substanzielles Vertrauensniveau. Sovrin ist ebenfalls ein derartiges Netzwerk, das vorwiegend in Nordamerika tätig ist.

SSI ermöglicht Interoperabilität zwischen verschiedenen Identitätsanbietern und -technologien. Damit entsteht ein Ökosystem von Organisationen, das allen Akteuren eine Teilnahme am System ermöglicht.

Einzelne Pilotprojekte zeigen das Potential der SSI-Technologie auf und können auch noch bestehende Probleme identifizieren. Gerade auch POC, die besonders skalieren müssen, bieten sich hier an. Eine dezentrale Struktur der Daten sichert einerseits den Zugriff vor einer Überlastung oder einer Korrumpierung ab und berücksichtigt zugleich die dezentralen Identitäten eines umfassenden "Identitätsökosystem" um den gläsernen Bürger zu vermeiden. (jm)

Michael Sasdi ist Senior Consultant bei der SVA System Vertrieb Alexander GmbH und leitet dort unter anderem die Blockchain Community. Der diplomierte Volkswirt beschäftigt sich seit 1985 mit der IT und hat unter anderem als Entwickler, Projektleiter und im Business Development gearbeitet. Seit 2016 ist die Blockchain sein Steckenpferd. Er schreibt und hält Vorträge über dieses wichtige Zukunftsthema.