Willkommen zu Teil 4 unserer Blog-Serie über überprüfbare digitale Berechtigungsnachweise (Verifiable Digital Credentials, VDCs)! In früheren Blogbeiträgen haben wir die Grundlage dafür gelegt, warum VDCs wichtig sind, was VDCs sind, und praktische Anwendungsfälle untersucht, in denen VDCs einen Mehrwert bieten.
In diesem Beitrag werden wir das VDC-Ökosystem genauer unter die Lupe nehmen, einschließlich:
- Wichtige Terminologie
- Wie VDCs mit Federation und Passkeys verglichen werden können
- Standards und Protokolle
- Wie Anmeldedaten ausgestellt und als vertrauenswürdig eingestuft werden
- Wo Okta und Auth0 passen
Legen wir los!
Terminologie
Um die technischen Details leichter verständlich zu machen, wollen wir das Szenario mit dem Feuerwerksladen aus unserem früheren Blog noch einmal aufgreifen. Stellen Sie sich vor, Sie versuchen, online Wunderkerzen und Kreisel zu kaufen, und der Laden muss überprüfen, ob Sie über 18 sind. Hier ist, wie die wichtigsten Akteure und Konzepte in der Welt der überprüfbaren digitalen Berechtigungsnachweise (Verifiable Digital Credentials, VDC) dieser Erfahrung zugeordnet sind:
Die Akteure
Sie sind der Inhaber: Sie sind die Person, die die Berechtigungsnachweise besitzt. (In einigen Fällen können Eltern die Zugangsdaten eines Kindes in dessen Namen verwalten.
Der Feuerwerksladen ist die verifizierende Instanz:Er fordert den Nachweis an und validiert ihn, um Ihr Alter zu bestätigen.
Ihre staatliche DMV ist der Aussteller:Sie erhebt Ansprüche in Bezug auf Sie – in diesem Fall, dass Sie 18 Jahre oder älter sind – indem sie einen mobilen Führerschein (mDL) ausstellt.
Die Werkzeuge
Ihre Wallet ist die App auf Ihrem Smartphone, die die Anmeldedaten speichert und präsentiert (eine Art Credential Manager, der im weiteren Sinne Software zur Verwaltung von Passwörtern, Passkeys und digitalen IDs umfasst).
Das mDL selbst ist der verifizierbare digitale Berechtigungsnachweis (VDC) – ein digitaler Berechtigungsnachweis, der kryptografisch verifizierbar ist.
Vertrauen und Kontrolle
Wenn Sie zur Kasse gehen, können Sie die selektive Offenlegung nutzen, um nur die Tatsache mitzuteilen, dass Sie 18 Jahre alt sind, ohne Ihr vollständiges Geburtsdatum oder Ihre Wohnadresse preiszugeben.
Der Feuerwerksladen weiß, dass er der DMV vertrauen kann, weil die DMV Teil einer Vertrauensliste ist – einem Register vertrauenswürdiger Aussteller und ihrer kryptografischen Anker..
Hinter dieser Vertrauensliste steht ein Trust Framework – die Geschäfts- und Richtlinienregeln, die bestimmen, wie Emittenten auf die Liste gelangen und welche Standards sie einhalten müssen.
Wie unterscheiden sich VDCs von Federation und Passkeys?
VDCs ersetzen weder Federation noch Passkeys. Betrachten Sie sie als sich ergänzende Werkzeuge: Die Föderation verbindet Identitäten über Systeme hinweg, Passkeys sichern die Authentifizierung und VDCs bringen portable, überprüfbare Informationen ins Spiel. Gemeinsam schaffen sie ein stärkeres und benutzerfreundlicheres Identitätsökosystem.
Federation
Federated Sign-in (auch bekannt als Social Sign-in) ist seit Jahren ein fester Bestandteil der Consumer- und Enterprise-Authentifizierung. So funktioniert es:
- Der Benutzer meldet sich über einen Identity Provider (IdP) wie Google an.
- Der IdP authentifiziert den Benutzer und stellt ein Token aus (mit Ansprüchen wie Name, E-Mail, Telefon).
- Das Token wird an den Dienst zurückgesendet, der ein Konto für den Benutzer einrichtet.
Der Vorteil: Benutzer müssen sich kein weiteres Passwort merken.
Der Nachteil: Jedes Mal, wenn Sie einen föderierten IdP verwenden, signalisieren Sie, auf welchen Dienst Sie zugreifen möchten, zusammen mit Metadaten wie Ihrem ungefähren Standort. Während federiertes IdP im Arbeitsumfeld nützlich ist, birgt dies erhebliche Datenschutzrisiken für Verbraucher.
VDCs
- Sie können sich VDCs als eine weiterentwickelte Form der Föderation vorstellen.
- Ein Aussteller (ähnlich einem IdP in der Föderation) behauptet Claims über Sie.
- Sie als Inhaber präsentieren diese Ansprüche einem Verifizierer (ähnlich einem Dienstanbieter im Verbund).
- Der Verifizierer prüft die Gültigkeit anhand einer oder mehrerer Vertrauenslisten.
Wesentlicher Unterschied: Sie können festlegen und kontrollieren, was in VDC freigegeben wird. Sie müssen Ihre persönlichen Daten nicht in Ihrem Föderationskonto (oder Social-Login-Konto) speichern. Und das Unternehmen, dem Ihr Föderationskonto gehört, muss Ihre persönlichen Daten nicht speichern und sieht auch nicht, wann oder wie Sie es verwenden. Auf diese Weise erhöht VDC den Datenschutz, indem es Ihnen mehr Kontrolle über Ihre Identitätsdaten gibt.
Passkeys
Passkeys haben sich als Phishing-resistente Alternative zu Passwörtern, OTPs und Magic Links herauskristallisiert. Auf den ersten Blick mögen sie VDCs ähneln (beide beinhalten Kryptographie und können sich in einer Wallet oder einem Credential Manager befinden), aber sie lösen ein anderes Problem:
Passkeys = für die Authentifizierung (um einem Dienst zu beweisen, dass "ich es bin").
VDCs = zum Vorlegen von Ansprüchen (Nachweis von etwas über Sie).
Es ist erwähnenswert, dass Passkeys für jede Website oder App einzigartig sind, wie ein anderer Schlüssel für jedes Schloss, was sie standardmäßig datenschutzfreundlich macht. Kein Dienst kann Ihre Passkey-Nutzung über verschiedene Websites hinweg verknüpfen. Im Gegensatz dazu erfordern VDCs zusätzliche Sicherheitsvorkehrungen (wie z. B. fortschrittliche Kryptographie und Massenausstellung), um sicherzustellen, dass sie nicht zu Tracking-Vektoren werden, wenn sie online präsentiert werden.
Wie sie zusammenarbeiten
Passkeys, Federation und VDCs adressieren verschiedene Schichten des Identitäts-Stacks und sind eher komplementär als konkurrierend. In der Praxis arbeiten diese oft zusammen:
Ein Hypothekenantrag könnte mit einem von der Regierung ausgestellten VDC beginnen, um die Identität nachzuweisen. Sobald die Identität verifiziert und ein Konto erstellt wurde, wird ein Passkey für den Benutzer für zukünftige Anmeldungen erstellt.
Ein Alkohol-Lieferservice könnte die Anmeldung über einen Federated IdP (z. B. Anmelden mit Google) ermöglichen, sich mit einem Passkey bei diesem IdP authentifizieren (sodass Sie sich nicht auf ein Passwort verlassen) und dann während des Bestellvorgangs einen von der Regierung ausgestellten VDC anfordern, um das Alter zu verifizieren.
Für einen tieferen Einblick sehen Sie sich meine Identiverse 2025-Session an: Passkeys and Verifiable Digital Credentials: Friends or Foes?
SD-JWT VC, Digital Credentials API, OpenID für überprüfbare Präsentationen – meine Güte!
Das Ökosystem verifizierbarer digitaler Anmeldedaten ist recht umfangreich und umfasst viele verschiedene technische Standards, die von vielen Standardisierungsorganisationen entwickelt wurden. Die Standards decken alle Bereiche des Ökosystems ab, um Interoperabilität zu unterstützen: Kennungen, Schlüsselverwaltung, Schemata, Anmeldeformaten, Präsentationsprotokolle, Ausstellungsprotokolle, Web-APIs und mehr. Hier sind einige Kernstandards.
Credential-Formate
SD-JWT VC ist ein VDC-Berechtigungsnachweisformat, das die selektive Offenlegung unterstützt und auf dem bekannten, entwicklerfreundlichen JSON Web Token basiert. SD-JWT VC wird im IETF entwickelt.
Das im Standard ISO 18013-5 definierte mdoc-Format wird hauptsächlich für mDLs und andere von Regierungsbehörden ausgestellte Identitätsdokumente verwendet. Während das mdoc die Struktur des Ausweises definiert, legt ISO 18013-5 auch Regeln für die Ausstellung und die physische, persönliche Verwendung fest. ISO 18013-7 erweitert dies auf Remote- (Online-)Präsentationsszenarien und profiliert bestehende Spezifikationen wie OpenID4VP und die Digital Credentials API, um eine sichere Verifizierung über das Web zu unterstützen.
*Hinweis: ISO-Spezifikationen sind nicht frei verfügbar und müssen von allen Lesern erworben werden.
Protokolle
OpenID for Verifiable Credential Issuance (OpenID4VCI) definiert, wie ein Aussteller und ein Credential Manager (Wallet) Informationen austauschen, um einen VDC auszustellen. Es unterstützt mehrere Berechtigungsnachweisformate und kann eigenständig oder über die Digital Credentials API verwendet werden.
OpenID for Verifiable Presentations (OpenID4VP) definiert, wie ein Credential Manager (Wallet) eine VDC einem Verifier präsentiert. Das Protokoll ist Credential-Format-agnostisch und kann von jeder Wallet unterstützt werden. OpenID4VP kann mit traditionellen Redirect-basierten Flows oder über die Digital Credentials API verwendet werden.
Zusammen bilden OpenID4VCI und OpenID4VP die OpenID for Verifiable Credentials-Familie, die bei der OpenID Foundation entwickelt wurde.
APIs
Die W3C Digital Credentials API, eine Initiative, die von Okta in Zusammenarbeit mit einigen Industriepartnern vorangetrieben wird, ist ein entscheidender Bestandteil des VDC-Ökosystems. Es ermöglicht die sichere und benutzerfreundliche Ausstellung und Präsentation von VDCs im Web und in Apps. Wenn Sie mit der WebAuthn API für Passkeys vertraut sind, spielt die Digital Credentials API eine ähnliche Rolle für VDCs.
Deshalb ist das wichtig:
Linke Visualisierung: VDC-Präsentationsfluss mit „Custom Scheme“ – ein Benutzer sieht eine vage Aufforderung, eine Wallet auszuwählen, und es fehlt jeglicher Kontext zur Anfrage.
- Richtiges Bild: VDC-Präsentationsablauf mit der Digital Credentials API – der Benutzer sieht, wer die Anmeldeinformation anfordert, und ein klares Karussell mit Optionen zur Erfüllung – der Benutzer muss sich nicht merken, wo er die einzelnen Anmeldeinformationen gespeichert hat.
Um einige der einzelnen Teile (Akronyme und alles) zusammenzuführen, können wir über die Digital Credentials API mit OID4VCI einen SD-JWT VC ausstellen und anschließend über die Digital Credentials API mit OID4VP eine Präsentation des SD-JWT VC anfordern!
Wie erhalte ich einen nachweisbaren digitalen Berechtigungsnachweis?
Bevor Sie eine VDC präsentieren können, müssen Sie zuerst eine erhalten. Es gibt zwei gängige Möglichkeiten, wie dies geschieht:
1. Website- oder App-initiierte Ausstellung
Stellen Sie sich das wie das Speichern einer Bordkarte oder eines Konzerttickets auf Ihrem Telefon vor. Auf einer Website oder App fordert Sie eine Schaltfläche auf, „Zu Wallet hinzufügen“. Für VDCs ruft das Klicken darauf die Digital Credentials API auf und fragt, in welchem Credential Manager (Wallet) Sie die Anmeldeinformation speichern möchten. Die Wallet kann dann eine zusätzliche Benutzeroberfläche anzeigen, um den Vorgang abzuschließen.
2. Vom Credential Manager oder Wallet initiierte Ausstellung
Manchmal beginnt der Vorgang direkt in Ihrem Credential Manager oder Ihrer Wallet. Dies ist typisch für mDLs in den USA oder abgeleitete Anmeldeinformationen wie Google ID Pass. Die Wallet führt Sie durch das Anfordern und Speichern von Anmeldeinformationen, ohne dass eine separate Website oder App erforderlich ist. Nachfolgend finden Sie Beispiele für die Bildschirme „Zu Wallet hinzufügen“ in Apple Wallet, Google Wallet und Samsung Wallet.
Beide Flows sind so konzipiert, dass sie einfach, sicher und vertraut sind – sie nutzen die gleichen Muster, die Benutzer bereits von digitalen Tickets, Kundenkarten oder Bordkarten kennen.
Wie vertraue ich einem VDC?
Das Vertrauen in VDCs beginnt mit der Kryptographie. Wenn ein Verifizierer eine Berechtigung erhält, ist die erste Prüfung die digitale Signatur – die Bestätigung, dass sie von einer vertrauenswürdigen Behörde ausgestellt wurde.
Um dies zu ermöglichen, verlassen sich Ökosysteme auf Vertrauenslisten und Vertrauensrahmen. Eine Vertrauensliste ist im Wesentlichen eine kuratierte Menge vertrauenswürdiger Entitäten und ihrer Signierschlüssel – man kann sie sich wie die Root-Zertifizierungsstellen (CAs) im Trust Store Ihres Browsers vorstellen. Ein Vertrauensrahmen definiert die Regeln und Richtlinien dafür, wie Aussteller auf die Liste gelangen, und kombiniert sowohl geschäftliche als auch technische Anforderungen.
Nehmen wir mDLs als Beispiel: In den USA und Kanada veröffentlichen die staatlichen und provinziellen DMVs ihre Signierschlüssel über den American Association of Motor Vehicle Administrators (AAMVA) Digital Trust Service. Diese Schlüssel – sogenannte Issuing Authority Certification Authorities (IACAs) – fungieren als Vertrauensanker. Plattformen wie Okta und Auth0 können sich regelmäßig mit AAMVA synchronisieren, um sicherzustellen, dass neue Aussteller automatisch erkannt werden.
Dieses Modell ist nicht auf staatliche Ausweise beschränkt. Im Bildungsbereich vermitteln Föderationen bereits Vertrauen zwischen Universitäten und Ländern; im Gesundheitswesen, im Finanzwesen und in anderen Sektoren spielen Branchenverbände eine ähnliche Rolle. Diese Vertrauenslisten und Frameworks werden die Interoperabilität und Zuverlässigkeit von VDCs über Domänen und Grenzen hinweg gewährleisten.
Welchen Platz haben Okta und Auth0 im VDC-Ökosystem?
Stellen Sie sich vor, Sie entwickeln eine neue App, die das Alter, den Beschäftigungsstatus oder den Zertifizierungsstatus von Benutzern überprüfen muss. Auf dem Papier klingt das einfach – aber in der Realität kann die Navigation durch fragmentierte Standards, mehrere Berechtigungsformaten und sowohl digitale als auch physische IDs überwältigend sein.
Hier bieten Okta und Auth0 einen echten Mehrwert. Unsere Plattformen übernehmen bereits wichtige Identity-Funktionen: das Erstellen von Assertions, das Verarbeiten von Assertions von anderen Identity Providern und die Bereitstellung von SDKs und Bibliotheken, um Identity in nahezu jede Anwendung zu integrieren.
Durch das Anbieten von VDC-Verifizierungs- und Ausstellungsfunktionen vereinfachen wir die Implementierung für Entwickler und abstrahieren die Komplexität eines verschachtelten Standard-Stacks. Dies legt den Grundstein dafür, dass VDCs in Zukunft zu einem nahtlosen, wiederverwendbaren Baustein für digitale Identität werden.
Wir bauen ein Fundament, das diese neue Kernfunktion zu einem nahtlosen Baustein für die Zukunft macht. Für komplexere oder langfristige Anwendungsfälle – wie z. B. professionelle Zertifizierungen oder Smart Health Cards – helfen unsere Tools Entwicklern, Administratoren und Verbrauchern, ihre Communities sicher aufzubauen und zu unterstützen.
Um mehr zu erfahren und VDCs in Aktion zu sehen, besuchen Sie oktacredentials.dev.
