Was ist Decentralized Identity?

Foto: JLStock – shutterstock.com

Decentralized Identity oder dezentrale Identität (DID), auch als selbstverwaltete Identität bezeichnet, stellt einige grundlegende Annahmen darüber in Frage, wie die Online-Authentifizierung funktioniert. Insbesondere die Idee, dass eine dritte Behörde erforderlich ist, um die sensiblen Daten zu verwalten, die die Identität ausmachen. DID verspricht, die Abhängigkeit von einer solchen Behörde zu verringern und dem Eigentümer der Daten ein gewisses Maß an Kontrolle über die Daten zurückzugeben, was sich positiv auf den Datenschutz und die Zugänglichkeit auswirken kann.

Traditionell wird die digitale Identität von Organisationen verwaltet, die diese Informationen in ihren Datenspeichern sicher verwahren. Dieses Modell hat sich im Laufe der Zeit aus verschiedenen Gründen als unzulänglich erwiesen, denn:

• Organisationen sind anfällig für Hackerangriffe;

• Organisationen behandeln die Informationen nicht immer so wie von den Nutzern gewünscht;

• Die Informationen der Nutzer sind über viele Anbieter verstreut, was das Risiko erhöht und den Komfort verringert;

• Den Benutzern fehlt die Kontrolle über ihre eigenen Daten, einschließlich der Möglichkeit, den Zugriff auf die Daten zu widerrufen.

Diese Unzulänglichkeiten sind natürlich nicht neu, und es wurden viele Versuche unternommen, sie zu beheben. Insbesondere die föderierte Einzelanmeldung (F-SSO oder föderierte Identität) ist eine Technik, die einige dieser Probleme angeht. Wenn ein Benutzer beispielsweise auf “Mit Google anmelden” klickt, verringert er zumindest die Unannehmlichkeiten und Risiken, die mit der Verwaltung seiner Konten auf einer fein abgestuften Ebene bei einer Vielzahl von Diensten verbunden sind. Sie können zumindest darauf hoffen, dass der Single Sign-On (SSO)-Anbieter, auf den sie sich verlassen, ein einheitliches Maß an Schutz und Privatsphäre bietet.

Letzten Endes sind solche Ansätze jedoch nur halbe Sachen, da sie innerhalb desselben konzeptionellen Rahmens existieren. Anstatt mit verschiedenen Organisationen zu klären, wer wir sind und welche Fakten über uns gültig sind, könnten wir diese Dinge mit der einen Organisation klären, die rechtmäßig für die Gültigkeit der einzelnen Datenpunkte zuständig ist und diese dann bei der Interaktion mit Dienstanbietern verwenden.

Damit ein solches System funktioniert, bräuchten wir einen weltweit verfügbaren, aber sicheren Datenspeicher, auf den sich alle Akteure bei der Festlegung der vereinbarten Fakten beziehen könnten. Es hat sich herausgestellt, dass es so etwas in Form von Blockchain-Technologien gibt. Die Decentralized Identity hängt von den Möglichkeiten ab, die die Web3-Plattformen bieten.

Decentralized Identity: Funktionsweise

Der wichtigste Unterschied gegenüber einem konventionellen Indentifikationsmodell ist, dass die Identitätsinformationen bei DID in der öffentlichen Blockchain gespeichert werden, wo sie ohne Wissen (Zero Knowledge) verwendet werden können. Wie Zero Trust ist auch Zero Knowledge als Begriff etwas übertrieben. Es bedeutet eigentlich: minimales Wissen.

Ihre Identität kann beispielsweise die Tatsache Ihrer Staatsbürgerschaft beinhalten; sagen wir, Sie sind ein britischer Staatsbürger. Allein die Tatsache, britischer Staatsbürger zu sein, berechtigt Sie zu bestimmten Rechten. Dienste können auf der Grundlage dieser Tatsache bestimmte Fähigkeiten gewähren. Das Decentralized-Identity-Modell ermöglicht es Ihnen, eine Beziehung zwischen Ihrem privaten Schlüssel (Ihrem Blockchain Wallet) und Ihrer Staatsbürgerschaft herzustellen. Die ausstellende Behörde bestätigt den Wahrheitsgehalt Ihrer Behauptung, und anschließend können Dritte Ihren öffentlichen Schlüssel daraufhin überprüfen, ob der Inhaber des privaten Schlüssels tatsächlich britischer Staatsbürger ist.

Foto: Matthew Tyson

Wenn Sie auf diese Weise Ihre Identität nachweisen, können Sie fein abgestufte und ansonsten anonyme Anfragen an Dienste stellen. Sie können alle Rechte und Fähigkeiten erlangen, die ausschließlich von der Staatsbürgerschaft abhängen, indem Sie lediglich angeben, dass Sie britischer Staatsbürger sind. Es gibt keine weiteren Informationen, die mit dieser Behauptung einhergehen (wie z. B. Ihr Reisepass). Außerdem erhält der Dienst bei diesem Vorgang keine anderen Informationen als Ihren öffentlichen Schlüssel.

Im Allgemeinen können die Nutzer ihren öffentlichen Schlüssel (d. h. ihre Wallet Adresse) angeben, und die Diensteanbieter können dann die Ansprüche bei der ausstellenden Behörde validieren. Es ist auch möglich, dass das System mit dem Nutzer bestätigt, dass er möchte, dass seine Adresse für eine bestimmte Forderung von einer bestimmten Stelle abgerufen wird, und dass dieser Zugriff später widerrufen wird. Dies alles läuft über das globale Blockchain-Netz, wobei die Kontrolle über die Daten in den Händen des Nutzers über seine privaten Schlüssel liegt. In diesem Sinne wird die dezentrale Identität auch als selbstbestimmte Souveränität (Self-Sovereign Identity – SSI) bezeichnet.

Dezentrale Identität: Mögliche Nachteile

Interessanterweise beseitigt die dezentrale Identität die zentrale Autorität nicht, sondern betont sie in gewisser Weise sogar noch stärker. So ist die Identitätsautorität einerseits stärker in die Identitätsüberprüfung im Internet integriert. Andererseits sind das Blockchain-Netzwerk oder die Netzwerke, die in diesem Modell existieren, trotz ihrer verteilten und fälschungssicheren Natur selbst eine Art zentraler Datenspeicher. Die Computer, die dieses Netzwerk betreiben, sind heterogen verteilt und entziehen sich damit der Kontrolle einer einzigen Instanz. Dennoch wird dieser Datenspeicher architektonisch zu einem zentralen Speicher für die Identität.

Darüber hinaus ist eine Identitäts-Blockchain insofern ein seltsames Konstrukt, als dass sie – anders als ein Netzwerk für Kryptowährungen – keinen klaren Mechanismus zur Motivation der Knotenbetreiber zu haben scheint. Dieser Gedanke wirft die Frage auf, wie anfällig eine Identitäts-Blockchain für byzantinische Angriffe (z. B. einen 51-Prozent-Angriff) sein könnte. Insbesondere in Anbetracht der Sensibilität der Daten und der Art der nationalstaatlichen Akteure, die an einer Kompromittierung solcher Netzwerke interessiert sein könnten, ist eine sichere Implementierung gelinde gesagt nicht trivial.

Am wahrscheinlichsten ist eine Art Hybridmodell, bei dem die Grundvoraussetzung der Blockchain – ein verteiltes Hauptbuch – mit einem vertrauenswürdigen Anbieter von verteilten Identitäten kombiniert wird. Vielleicht werden in Zukunft die Regierungen dabei eine Rolle spielen, aber im Moment füllen die großen Tech-Unternehmen diesen Raum bereits aus – wie Microsoft, IBM, Okta und die Bemühungen des W3C um eine Standardisierung.

Noch grundlegender als Fragen der Implementierung ist die Idee, jedem Menschen eine ID zuzuweisen und diese dann zu nutzen, um ein universelles Verständnis dafür zu schaffen, wer was tun kann. Ein solches Vorgehen riecht ein wenig nach totalitärer Fantasie und kann mit den falschen Akteuren zu einem dystopischen Albtraum führen.

Natürlich sind solche Bedenken heute noch weit weg. Vor einer Implementierung müssen noch eine Menge kleinere und große Fragen geklärt werden. Höchstwahrscheinlich werden wir zunächst eine Reihe verschiedener Blockchain-Netzwerke sehen, die von unterschiedlichen Branchen und Interessen gesponsert werden und sich diesen widmen. Ein Kfz-Versicherungsnetzwerk zum Beispiel, an dem sich Kfz-Versicherer beteiligen, um Versicherungsnachweise auf DID-Art bereitzustellen.

DID: Der aktuelle Stand

Bereits heute wird Decentralized Identity aktiv bei digitalen Währungen eingesetzt. Man kann Token auf der Grundlage privater Wallet-Schlüssel nachweisen und nutzen. Dienste wie Sign-in mit Ethereum (SIWE) ermöglichen es, dieselben Wallets zur Authentifizierung bei Webanwendungen zu nutzen, die wir heute als Ersatz für Standardanmeldeinformationen wie E-Mail oder Telefon verwenden.

Eine weitere Realität der dezentralen Identität: Der Verlust privater Schlüssel hat schwerwiegende Folgen. Der öffentliche Schlüssel des DID-Modells ist bemerkenswert resistent gegen Manipulationen – er kann im Grunde frei mit jedem geteilt werden, der seine Ansprüche geltend macht, ohne dass man befürchten muss, dass er Informationen preisgibt.

Wenn jedoch die privaten Schlüssel eines Wallet verloren gehen (ein verlockendes Ziel für Phisher), ist der Verlust gravierend. Denn was auch immer durch diesen privaten Schlüssel gesichert ist, ist unmittelbar angreifbar. Es können zwar Mechanismen entwickelt werden, um diesen Verlust abzumildern, aber dann wird ein Teil des Komforts und der Leistungsfähigkeit, die wir mit DID zu erreichen hofften, wieder zurückgenommen.

Wie vieles von dem, was Web3 verspricht, ist auch die Realität der dezentralen Identität noch im Entstehen begriffen. Was man aktuell sieht, ist eine Zusammenarbeit von älterer und neuerer Technologie, eine Integration von Stärken und eine Verringerung von Schwächen zwischen verschiedenen Ansätzen. Decentralized Identity wird bei der digitalen Identität in Zukunft sicherlich eine Rolle spielen. Sie ist nichts, was man getrost ignorieren kann. Und sie wird auch nicht einfach über Nacht das Gewohnte ersetzen. Es ist ein guter Zeitpunkt, um sich mit den Möglichkeiten von DID zu befassen. (mb)

Dieser Artikel basiert auf einem Beitrag der US-Schwesterpublikation CSO.