SSI-Blockchain-Infrastruktur Self-Sovereign Identity (SSI) auf Basis der Blockchain-Technologie

Autor / Redakteur: Prof. Dr. Norbert Pohlmann / Peter Schmitz

Self-Sovereign Identity (SSI) stellt digitale Identitäten und Nachweise sicher und vertrauenswürdig auf der Basis einer modernen Blockchain-Vertrauensarchitektur für die fortschreitende Digitalisierung zur Verfügung. Das SSI-Ökosystem schafft Abhängigkeiten von Monopolisten ab und ermöglicht eine souveräne und schnellere Gestaltung der digitalen Zukunft.

Self-Sovereign Identity (SSI) gibt Nutzern die Kontrolle über ihre Identität zurück und kann für eine schnellere, sichere und vertrauenswürdige Digitalisierung sorgen.
Self-Sovereign Identity (SSI) gibt Nutzern die Kontrolle über ihre Identität zurück und kann für eine schnellere, sichere und vertrauenswürdige Digitalisierung sorgen.
(© putilov_denis - stock.adobe.com)

Das Konzept, die Architektur und die Prinzipen von Self-Sovereign Identity (SSI) kristallisieren sich zunehmend als das Verfahren der Wahl für Unternehmen, IT-Dienstanbieter und Nutzer heraus, um digitale Identitäten und weitere verifizierbare digitale Nachweise sicher und vertrauenswürdig für die fortschreitende Digitalisierung zur Verfügung zu stellen und zu nutzen.

Derzeit dominieren zentrale ID-Provider wie Google und Facebook die Verwaltung von Identitätsdaten vieler IT-Dienste weltweit, was zu einer großen Abhängigkeit der Gesellschaft, der Unternehmen und Nutzer in Bezug auf den Fortgang der Digitalisierung führt. Außerdem nutzen sie die sensiblen, personenbezogenen Daten für eigene Werbezwecke oder stellen diese weiteren Unternehmen zur Verfügung, um damit Geld zu verdienen. Das schwächt die Privatsphäre der Nutzer und hat Folgen bezüglicher der Akzeptanz. Self-Sovereign Identity (SSI) wird helfen, diese Probleme zu lösen.

Ablauf: Self-Sovereign Identity (SSI)

Bei SSI spielen drei Akteure (Aussteller, Besitzer und Verifizierer) eine Rolle, die gemeinsam mit der SSI-Blockchain-Infrastruktur interagieren.
Bei SSI spielen drei Akteure (Aussteller, Besitzer und Verifizierer) eine Rolle, die gemeinsam mit der SSI-Blockchain-Infrastruktur interagieren.
(Bild: Pohlmann)

Bei Self-Sovereign Identity (SSI) kontrollieren und besitzen Nutzer ihre digitalen Identitäten und weitere verifizierbare digitale Nachweise, ohne hierfür auf eine zentrale Stelle, wie etwa Facebook oder Google, angewiesen zu sein. Sie sind somit unabhängig von Dritt-Instanzen und entscheiden vollkommen eigenständig, wer welche Identitätsdaten zur Verfügung gestellt bekommt. Alle Identitätsdaten werden ausschließlich bei ihnen in der SSI-Wallet gespeichert.

Dadurch wird ein einfacher, flexibler, sicherer und vertrauenswürdiger Austausch von manipulationssicheren digitalen Nachweisen zwischen Nutzer und Anwendungen möglich.

Bei SSI spielen drei Akteure (Aussteller, Besitzer und Verifizierer) eine Rolle, die gemeinsam mit der SSI-Blockchain-Infrastruktur interagieren. Jeder dieser Akteure hat eine definierte Aufgabe.

SSI-Blockchain-Infrastruktur

Die SSI-Blockchain-Infrastruktur ist ein dezentrales Blockchain-Netzwerk mit IT-Sicherheits- und Vertrauenswürdigkeitsmechanismen, in dem Informationen der Aussteller manipulationssicher gespeichert werden. Dadurch sind die Akteure in der Lage, Echtheit, Ursprung und Unversehrtheit der digitalen Nachweise zu überprüfen, ohne dass die SSI-Blockchain die Besitzer oder die ausgestellten Nachweise kennt.

Die SSI-Blockchain-Infrastruktur hat im Vergleich zu anderen Blockchain-Anwendungen drei Besonderheiten.

1. Decentralized Identifiers (DIDs)

Die Aussteller werden in der SSI-Blockchain über die Decentralized Identifiers (DIDs) identifiziert. Decentralized Identifiers (DIDs) sind eine moderne Art von Identifier, die eine überprüfbare, dezentralisierte digitale Identität global und standardisiert ermöglichen.

Ein DID wird in folgender Form dargestellt:

Ein Decentralized Identifier (DID).
Ein Decentralized Identifier (DID).
(Bild: Pohlmann)

Die DID ist in drei Teile aufgeteilt. Das Schema bezeichnet die DID-Ressource. Die DID-Methode referenziert die SSI-Blockchain, sodass in einem SSI-Ökosystem mehrere Blockchains parallel existieren und miteinander interagieren können. Der methodenspezifische Identifikator identifiziert den Aussteller oder andere Ressourcen in der speziellen SSI-Blockchain.

2. Hyperledger-Aries

Im SSI-Ökosystem können mehrere unterschiedliche Blockchain-Netzwerke eingebunden sein. Damit kann die Infrastruktur als SSI-Network of SSI-Networks realisiert werden. Dies schafft eine besondere Flexibilität, weniger Abhängigkeiten und eine höhere Skalierung für infrastrukturelle Anwendungen.

Dies wird durch standardisierte Protokolle wie zum Beispiel für die Übertragung von digitalen Nachweisen in Projekten wie Hyperledger-Aries definiert.

3. Nur kryptographische und Meta-Informationen der Aussteller in der SSI-Blockchain

Die öffentlichen Schlüssel der Aussteller sowie weitere Metainformationen sind bei Self-Sovereign Identity in der SSI-Blockchain verstetigt und für die Verifizierer einfach abrufbar.

Gleichzeitig können über die SSI-Blockchain anonyme Sperrregister abgebildet werden, um auf diese Weise die Gültigkeit von digitalen Nachweisen aufzuheben und somit potenzielle Risiken zu minimieren.

Die eigentlichen digitalen Nachweise oder Hashwerte davon werden nicht in der SSI-Blockchain verstetigt. Damit ist die SSI-Blockchain unabhängig von der Anzahl der ausgegebenen digitalen Nachweise.

Aussteller (Issuer)

Im SSI-Ökosystem gibt es Aussteller, die verifizierbare digitale Nachweise wie Bescheinigungen der Identität (Personalausweis, Firmen- oder Dienstausweis …), Führerscheine (Auto/Motorrad, Kräne …), Zeugnisse (Abitur, Bachelor, Master …), Bestätigungen (Teilnahmebestätigung, Impfbestätigung …) Befähigung (Approbation, Krankenpfleger, Malermeister …), Befugnisse (Amtsbefugnis, Aufenthaltsbefugnis …), Qualifikationen (Weiterbildungsnachweise, Personenzertifikate …) ausstellen. Aussteller sind z. B. Einwohnermeldeamt, Straßenverkehrsamt, Schulen- und Hochschule, Berufsverbände, Behörden, Qualifizierungsorganisation oder TÜVs. Die digitalen Nachweise werden von den Ausstellern digital unterschrieben. Dies wird in der Regel so umgesetzt, dass vom digitalen Nachweis mithilfe einer One-Way-Hashfunktionen eine kryptografische Prüfsumme berechnet und diese dann vom Aussteller digital unterschrieben wird.

Jeder, der diesen digitalen Nachweis verifizieren möchte, kann feststellen, ob die Integrität und die Authentizität des digitalen Nachweises in Ordnung ist und der Aussteller echt ist.

Die öffentlichen Schlüssel, Sperrlisten und weitere Metainformationen sind in der SSI-Blockchain verstetigt und für die Verifizierer einfach abrufbar. Die Identifizierung der SSI-Blockchain und die notwenigen Informationen geschehen mithilfe der DID des Ausstellers, die in den digitalen Nachweisen eingebunden ist.

Essenziell ist, dass die Aussteller sowohl berechtigt als auch vertrauenswürdig sind. Außerdem muss die Übertragung der verifizierbaren digitalen Nachweise zwischen dem Aussteller und Nutzer verschlüsselt erfolgen.

Verifizierer (Akzeptanzstelle)

Die Akzeptanzstellen in diesem SSI-Ökosystem benötigen verifizierbare digitale Nachweise, um die vorgelegten digitalen Nachweise in einem Prozess oder einer Anwendung (Off- oder Online) zu nutzen und weiter zu verarbeiten. Dies geschieht im Idealfall vollkommen automatisiert.

Dazu kann die Anwendung mithilfe von Informationen aus der SSI-Blockchain, die digitalen Nachweise auf Echtheit überprüfen. Die Identifikationen der SSI-Blockchain geschieht mithilfe der DID. Durch dieses Konzept ist es möglich, medienbruchfrei und vor allem abgesichert das Potenzial der Digitalisierung auszuschöpfen und neue digitale Geschäftsmodelle umzusetzen. Auch zwischen Nutzer und Anwender müssen die Nachweise verschlüsselt übertragen werden.

Das SSI-Ökosystem wird nur dann von den Nutzern akzeptiert und verwendet, wenn sie dem Vorgängen vertrauen. Dazu zählt die angemessene Nutzung und Speicherzeit von digitalen Nachweisen bei den Anwendern: Nach der Verifikation der digitalen Nachweise und der Nutzung der Inhalte werden diese gelöscht. Eine unbegrenzte Speicherung wird hinfällig und Nachweise werden nur nach Bedarf vom Nutzer autark erzeugt.

Besitzer (Holder)

Der Besitzer hat in der Regel auf seinem mobilen Endgerät eine entsprechende SSI-App (Edge-Agent), in der eine Wallet mit den digitalen Nachweisen gespeichert ist. Es ist auch möglich, als Alternative oder Ergänzung zum Edge-Agent, einen Cloud-Agent zu nutzen. Dieser ist insbesondere für Backup-Szenarien hilfreich und garantiert eine höhere Verfügbarkeit als ein mobiler Edge-Agent. Die Nutzer können alle verifizierbaren digitalen Nachweise von den entsprechenden Ausstellern anfordern und in der eigenen SSI-Wallet sicherer ablegen. Damit sind sie in der Lage, selbstbestimmt diese Nachweise den entsprechenden Anwendungen zur Verfügung zu stellen. Präsentiert wird dem Verifizierer nur der Nachweis, der explizit gefordert ist, ohne darüber hinausgehende Informationen:So wird bei einer Überprüfung der Unternehmenszugehörigkeit mit Hilfe von Zero-Knowledge-Protokollen nur die hierfür notwendige Information, also ein bestimmtes Feld im Unternehmensausweises übertragen, ohne weitere, persönliche Daten zu übermitteln.

Anwendungsbeispiele: Self-Sovereign Identity

Im Folgenden werden ein paar Anwendungsbeispiele aufgezeigt, um das Potenzial in der fortschreitenden Digitalisierung deutlich zu machen.

1. Optimierung des Prozesses einer Autovermietung

Wer schon einmal ein Auto gemietet hat, kennt die Situation, wenn wir ein Auto mieten wollen: Der Mitarbeitende des Autovermieters braucht eine gefühlte Ewigkeit, um Ausweis, Führerschein und Kreditkarte zu prüfen, kopieren und die Daten im PC zu erfassen. Mit Self-Sovereign Identity (SSI) würde dieser Vorgang erheblich vereinfacht und verkürzt: Am Schalter angekommen, wird ein QR-Code vom Kunden gescannt. Anschließend werden die digitalen Nachweise (Ausweis, Führerschein, Kreditkarte, Gutscheine …) vom Kunden freigegeben und der Autovermieter zur Verfügung gestellt, damit er diese direkt automatisiert verarbeiten kann. Anschließend kann der Mietvertrag z. B. digital signiert und die Übergabe des Autoschlüssels (als physikalischer oder digitaler Schlüssel) übergeben werden. Quasi simultan laufen die weiteren Prozesse sicher im Hintergrund ab.

2. Optimierung des Prozesses beim Hotel-Check-in

Im Hotel angekommen, wird der Gast aufgefordert, einen QR-Code zu scannen. Anschließend werden die digitalen Nachweise vom Gast freigegeben, der Personalausweis und der Unternehmensausweis. Mithilfe des Unternehmensausweises kann das Hotel die Zugehörigkeit des Gastes zu einem Unternehmen und die Lieferadresse für die Rechnung verifizieren und übernehmen. Der übliche Meldeschein wird automatisiert erstellt und weitergeleitet. Auch hier kann der Gast sehr schnell auf sein Zimmer gehen und das Hotel die Prozesse automatisiert sicher und vertrauenswürdig durchführen.

3. Optimierung der Zugangskontrolle in Unternehmen / Organisationen

Der Unternehmensausweis kann auch für die Zugangskontrolle verwendet werden. Beim Einlass wird nach der Authentifikation eines Mitarbeiters aus dem Inhalt des Unternehmensausweises die Positionen ermittelt, um die Berechtigung des Zugangs einfacher bei vielen Organisationspräsenten überprüfbar zu machen.

Zusammenfassung

Self-Sovereign Identity (SSI) stellt digitale Identitäten und weitere verifizierbare digitale Nachweise sicher und vertrauenswürdig für die fortschreitende Digitalisierung zur Verfügung, damit Nutzer selbstbestimmt ihre Daten weitergeben können. Das SSI-Ökosystem schafft Abhängigkeiten von Monopolisten ab und ermöglicht eine unabhängige Ausgestaltung der digitalen Zukunft.

Über den Autor: Norbert Pohlmann ist Professor für Cybersicherheit und Leiter des Instituts für Internet-Sicherheit - if(is) an der Westfälischen Hochschule in Gelsenkirchen sowie Vorstandsvorsitzender des Bundesverbands IT-Sicherheit – TeleTrusT und im Vorstand des Internetverbandes - eco.

(ID:47433221)