Suchen

Dezentrale Vertrauensstrukturen Identitätsmanagement mit Zero-Knowledge-Proofs

| Autor / Redakteur: Alexander Ebeling und Manuel Bolsinger / Peter Schmitz

Blockchain-basierte Systeme gewinnen schnell an Aufmerksamkeit. Eine der größten Herausforderungen sind noch immer Bedenken beim Datenschutz. Als mögliche Lösung bei einem dezentralen Identitätsmanagement eignen sich zwei Technologien, die kryptographische Techniken auf der Grundlage anonymer Anmeldedaten und Zero Knowledge Proofs verwenden: Ethereum mit ZoKrates und Hyperledger Indy.

Firmen zum Thema

Sowohl die Hyperledger-Indy- als auch die Ethereum-Implementierung mit dem ZoKrates-Toolkit ermöglichen die Verwaltung von Informationen ohne private Attribute offenlegen zu müssen.
Sowohl die Hyperledger-Indy- als auch die Ethereum-Implementierung mit dem ZoKrates-Toolkit ermöglichen die Verwaltung von Informationen ohne private Attribute offenlegen zu müssen.
(Bild: gemeinfrei / Pixabay )

Ein vielversprechender Ansatz für einen belastbaren, datenschutzkonformen Mechanismus besteht darin, die Blockchain-Technologie mit Zero-Knowledge-Proofs (ZKP) zu implementieren. Die Verbesserungen durch ZKPs tragen dazu bei, ein datenschutzkonformes, dezentrales Identitätsmanagement zu realisieren und private Transaktionen auf einer Blockchain zu skalieren. Dies führt zu einer höheren Akzeptanz bei Unternehmen und wird in naher Zukunft eine größere Verbreitung finden.

Aber wie viele Informationen sind überhaupt notwendig, um organisationsübergreifend miteinander zu kooperieren und eine Vertrauensbasis aufzubauen? Die BMW Group und T-Systems Multimedia Solutions haben sich dieser Frage angenommen und zwei technische Implementierungen unter die Lupe genommen, die es verschiedenen Parteien dezentral ermöglicht, einen Registrierungs- und Validierungsprozess durchzuführen: Das Hyperledger Indy Framework und das Ethereum Protokoll mit der ZoKrates Implementierung für zk-SNARKs.

Bildergalerie

Beispielsweise beim Carsharing werden zwangsläufig mehr Informationen offengelegt, als für den Registrierungsprozess selbst notwendig wären. Darüber hinaus werden die Kunden gebeten, bei jeder Anmietung die Gültigkeit ihres Führerscheins zu bestätigen. Die klassische datenschutzkonforme Verarbeitung der erhaltenen Daten ist daher mit einem organisatorischen, technischen und letztlich auch finanziellen Aufwand verbunden. Ziel sollte es daher sein, ein Blockchain-Ökosystem zu etablieren, durch das verschiedene Parteien besser zusammenarbeiten und gleichzeitig der Schutz der Privatsphäre eines jeden Endnutzers gewährleistet wird. Im Falle des Carsharings wären diese Parteien zum Beispiel Bundesbehörden, wie das Kraftfahrt-Bundesamt, der jeweilige Mobilitätsanbieter und weitere Unternehmenspartner, wie die BMW Group.

Entsprechend stellt sich die Frage, welche Informationen vom Endnutzer wirklich für einen Service erforderlich, welche lediglich Begleitwerk aufgrund einer mangelnden technischen Umsetzbarkeit sind und wie sich der Prozess zugunsten aller Beteiligten optimieren lässt.

Umfangreiches Identitätsmanagement mit Hyperledger Indy

In traditionellen zentralisierten Identity- and Access Management (IAM) Systemen fungiert eine Organisation als Vertrauensträger und verwaltet die Daten der Benutzer. Ein IAM – entwickelt auf dem Indy Framework – basiert auf dezentralen Identitäten, gibt den Endbenutzern ihre Datenhoheit zurück und nutzt die Blockchain als Hüter des Vertrauens. Verschiedene Organisationen nehmen an public–permissioned Blockchain-Netzwerken teil und interagieren miteinander, um ihre Identitäts- und Attributsansprüche sicher und via Zero-Knowledge-Beweise nachzuweisen.

Jede Entität, oder eben Organisation, hat im Indy Framework eine Rolle, die ihre Funktion im Netzwerk definiert. Indy folgt dabei einem hierarchischen Rollenmodell. Der „Trustee“ repräsentiert die leitenden Organe im Netzwerk. Er kann weitere Trustees hinzufügen oder entfernen und anderen Rollen weitere Rechte zuweisen. Die Steward-Rolle erlaubt es Organisationen, ihre Nodes im Blockchain-Netzwerk zu betreiben und kann einer Entität die Rolle des „Trust Anchors“ einräumen. Diese Rolle wiederum können Organisationen nutzen, um Endnutzern Berechtigungsnachweise zu erstellen.

Durch diese Lösung könnten Benutzer beim Carsharing Zugang zu einem Fahrzeug aus dem Mobilitätspool erhalten und müssten dabei nur selektiv die relevanten Informationen, wie ihre Führerscheinklasse und die Länge ihrer Fahrpraxis, offenlegen. Auch bei mehreren Blockchain-Netzwerken, die miteinander kooperieren müssen, funktioniert diese Praxis. Beim Beispiel des Carsharings würde hierfür auf das staatliche Netzwerk, einschließlich der Verkehrsbehörde, sowie auf das Netzwerk der Mobilitätsanbieter und weiterer Unternehmenspartner zurückgegriffen.

Öffentliches Netzwerk mit hoher Interoperabilität

Im Gegensatz dazu, basiert die verwendete Zero-Knowledge-Proof Implementierung bei der Ethereum Blockchain auf dem ZoKrates Toolkit. Hier lassen sich die Rollenhierarchien einfacher anwenden, die Eigenschaften der verschiedenen Entitäten können durch Smart Contracts bestimmt werden und das Rechte- und Rollenkonzept ist nicht an ein festes hierarchisches System geknüpft. Es bedarf bei Ethereum keines dedizierten Identitäts-Netzwerkes und die Zero-Knowledge-Beweise können auf der Ethereum-Blockchain öffentlich validiert und Off-Chain generiert werden.

Die Struktur des Berechtigungsnachweises und die Proof-Logik werden in den jeweiligen Smart Contract kodiert, der als On-Chain-Verifizierer fungiert. Die Smart-Contract-Funktionen können von verschiedenen Anwendungen genutzt werden und sind mit anderen auf Ethereum basierenden Blockchain-Netzwerken interoperabel.

Indy überzeugt mit Performance – Ethereum mit Interoperabilität

Sowohl die Hyperledger Indy als auch die Ethereum Implementierung bieten Alternativen zur Verwaltung von Informationen ohne private Attribute offenlegen zu müssen. Mit Blick auf die Zahlen wird deutlich, dass die Indy Implementierung performanter agiert als die Ethereum Implementierung. Bei der Verifizierung von Beweisen ist die Indy Implementierung fünfmal schneller. Die Verifikation des Zero-Knowledge-Beweis ist der am häufigsten wiederkehrende Vorgang im Prozess, wodurch Indy besonders für Echtzeitanwendungen attraktiv und dabei noch wesentlich effizienter sowie skalierbarer ist.

Anders als bei Hyperledger Indy ist für Ethereum kein eigenes semi-öffentliches Netzwerk notwendig, die Smart Contracts zur Verifizierung werden auf dem öffentlichen Blockchain-Netzwerk von Ethereum ausgeführt. Bei Hyperledger Indy muss jede Organisation ihr eigenes semi-öffentliches Ökosystem mit entsprechenden Berechtigungen entwickeln, dadurch wird die Organisationsstruktur der realen Welt auch besser nachgebildet.

Zusammenfassend lässt sich sagen, dass Indy-basierte Lösungen in einer Vielzahl von Anwendungsfällen – die Kompatibilität mit der bestehenden IT-Architektur voraussetzen – flexibler und effizienter sein werden. Die Zero-Knowledge-Proof Implementierung auf Ethereum ermöglicht besonders für dezentrale Geschäftsmodelle insbesondere im Kontext Web3 einen enormen Entwicklungssprung.

Über die Autoren

Alexander Ebeling ist Blockchain Consultant bei T-Systems Multimedia Solutions. Er ist Co-Founder des Blockchain Solution Center mit akademischem Hintergrund in Verhaltens- und Finanzwirtschaft. Im Frühjahr 2017 hat er die Blockchain Aktivitäten bei der T-Systems konsolidiert und das Blockchain Solutions Center mitgegründet. Mit einem Team aus 20 Personen, ist das Blockchain Solutions Center ein profitabler Lösungsanbieter im Blockchain Bereich. Ebenfalls gründete er die Blockchain Community der Deutschen Telekom mit über 700 Mitgliedern und organisiert das Blockchain Meetup Saxony mit über 1000 aktiven Mitgliedern.

Manuel Bolsinger ist Product Owner DLT Technologies im DLT-Team der BMW Group, aktuell mit dem Fokus auf Self-Sovereign Identities. In dieser Funktion vertritt er das Unternehmen auch bei der Mobility Open Blockchain Initiative (MOBI) im Rahmen des Proof-of-Concepts „Vehicle Identity“. Zuvor war er mehrere Jahre als Enterprise Architect bei der BMW Group tätig. Vor seinem Wechsel ins Unternehmen arbeitete er am Kernkompetenzzentrum Finanz- & Informationsmanagement, von wo aus er als IT- & Prozessberater bei diversen Unternehmen im Einsatz war. Parallel promovierte er an der Universität Augsburg im Bereich Wirtschaftsinformatik mit dem Schwerpunkt „Wertorientiertes Prozessmanagement“.

(ID:46648262)