Self-Sovereign Identität (SSI): Autonomes Identitätsmanagement

Self-Sovereign Identität (SSI) ist ein Formular digitaler Identität, über das der Benutzer die vollständige Kontrolle hat. Das bedeutet, dass der Benutzer entscheidet, wer wann welche Informationen sieht. 

Die digitale Identität ist die Online-Identifizierung eines Benutzers, ähnlich wie ein physischer Personalausweis wie ein Reisepass oder ein Führerschein. Eine digitale Identität enthält Merkmale oder Attribute des Benutzers. Mit Self-Sovereign Identität werden diese sensiblen Identifikationsinformationen sicher und privat aufbewahrt. Die IT hat jederzeit die Kontrolle über den Benutzer.

Self-Sovereign Identity nutzt die Blockchain-Technologie. SSI-Systeme werden über einen digitalen und sicheren Okta-Community-zu-Okta-Community-Kanal dezentralisiert, der auf dem Dreieck des Vertrauens basiert. Es gibt drei Entitäten im Trust Triangle mit SSI: den Aussteller der digitalen ID, den Eigentümer der ID und den Verifizierer der ID. 

Anders als bei anderen Formularen der digitalen Identität müssen bei SSI nicht jedes Mal alle Informationen auf dem Ausweis geteilt werden. Dies kann dazu beitragen, Datenschutz und Sicherheit zu gewährleisten, indem nur relevante Informationen an den ID-Anforderer weitergegeben werden.

Selbstsouveräne Identität verstehen

Eine selbstbestimmte Identität (SSI) kann dazu beitragen, in der digitalen Welt dasselbe Maß an Vertrauen und Freiheit beim Teilen oder Verteilen von Identitätsmerkmalen zu schaffen, wie es ein Einzelner in der physischen Welt hat. SSI ist benutzerzentriert, was bedeutet, dass der Benutzer Eigentümer seiner eigenen Daten ist und sich nicht auf eine zentrale Behörde verlassen muss, um zu beweisen, dass er die Person ist, die er vorgibt zu sein. 

Mit SSI hat der Benutzer die volle Kontrolle darüber, welche Informationen er mit wem teilt. Durch die Verwendung eines gemeinsamen Identitätsmetasystems sind Benutzer in der Lage, ihre digitale Identität über mehrere Plattformen hinweg an variablen Orten zu verifizieren. Self-Sovereign Identität ist daher privat, sicher und portabel.

Protokolle hinter SSI

SSI basiert auf drei Hauptprotokollen: überprüfbaren Anmeldedaten, dezentralen Kennungen und Distributed-Ledger-Technologie (DLT) bzw. Blockchain. 

• Überprüfbare Anmeldedaten: Das vom W3C standardisierte Protokoll "Verifizierbare Anmeldedaten" stellt sicher, dass die Aussagen des Ausstellers der digitalen ID unter Wahrung der Privatsphäre und ohne Manipulation erfolgen. Bei Self-Sovereign Identität und überprüfbaren Anmeldedaten werden Techniken zum Schutz der Privatsphäre mittels Public-Key-Verschlüsselung und digitalem Wasserzeichen eingesetzt.

Der Eigentümer der Anmeldedaten kann entscheiden, wie viel und welche Bestandteile der digitalen ID er mit dem Verifizierer teilt, so dass er nur das anzeigen kann, was notwendig und angefordert ist. Der ID-Verifizierer ist dann in der Lage, die Daten sofort zu verifizieren, ohne sich an den Aussteller des Ausweises wenden zu müssen.  

• Dezentrale Identifikatoren: Typische digitale Identifikatoren verlassen sich auf Vermittler, um eine Verbindung zwischen zwei Parteien herzustellen. Dazu können E-Mail-Adress-Anbieter, Mobilfunkbetreiber, Facebook und Google gehören. Diese Vermittler speichern persönliche digitale Identitätsinformationen in einer zentralen Datenbank. 

Diese zentralisierte Datenbank ist anfällig für eine potenzielle Datenschutzverletzung, bei der Angreifer Zugriff auf diese persönlichen Anmeldedaten erhalten können. Die Interaktionen zwischen diesen Verbindungen sind ebenfalls nicht geschützt, und der Benutzer hat keine Kontrolle darüber, wie die von diesen Parteien gesammelten Metadaten verwendet werden.

IT könnte zum Beispiel unschuldig verwendet werden, um den Anzeigeninhalt in Ihren sozialen Medien auf der Grundlage Ihrer Interaktionen anzupassen. IT kann aber auch für böswillige Zwecke genutzt werden. Der Hauptpunkt ist, dass Sie als Eigentümer der Anmeldedaten keine Kontrolle darüber haben, wie diese gesammelten Metadateninformationen verwendet werden.

SSI stützt sich auf einen dezentralen Identifikator (DID), der entweder privat oder öffentlich sein kann. Mit einer privaten DID ist niemand außerhalb der sicheren Okta-Community-zu-Okta-Community-Verbindung in Ihre Interaktion oder Ihre persönlichen Identitätsinformationen eingeweiht. Es wird ein sicherer Kanal verwendet, der nicht auf eine zentrale Instanz angewiesen ist.

Öffentliche DIDs werden verwendet, um nur die Informationen weiterzugeben, die der ID-Inhaber weitergeben möchte und muss. Dies geschieht über eine sichere Verbindung.  

• Distributed-Ledger-Technologie (DLT) oder Blockchain-Technologie: Hinter dezentralen Datenbanken steht die Blockchain-Technologie. Dadurch hat jeder innerhalb des sicheren Netzwerks dieselbe Informationsquelle über die Gültigkeit der Anmeldedaten und darüber, wer die Gültigkeit der in den Anmeldedaten enthaltenen Daten bestätigt hat, während die eigentlichen Daten vertraulich bleiben. Die Überprüfung des Nachweises erfolgt dann auf Grundlage der Gültigkeit des Attestierers.

Wenn Sie beispielsweise Ihr Alter nachweisen müssen, ohne Ihr tatsächliches Geburtsdatum mitzuteilen, können Sie einfach die Unterschrift der ausstellenden Behörde Ihrer Anmeldedaten teilen, z. B. einen amtlichen Ausweis, und der Verifizierer kann dann bestätigen, dass Sie volljährig sind, da er dem Aussteller vertraut. In der Blockchain werden keine personenbezogenen Daten gespeichert, und alles, was in das verteilte Hauptbuch (die Blockchain) aufgenommen wird, kann nicht gelöscht oder verändert werden, wodurch die IT unveränderlich wird.

Was ist digitale Identität?

Eine digitale Identität ist die digitale Identifizierung eines Benutzers, und die IT besteht aus Merkmalen oder Datenattributen. Dies wird verwendet, um einen Benutzer oder eine Entität online und in der digitalen Welt zu identifizieren.  

Eine digitale Identität kann folgende Informationen enthalten:

• Benutzername und Passwort
• Geburtsdatum
• Sozialversicherungsnummer (SSN)
• Online-Historie und Transaktionen
• Staatsbürgerschaft
• Geschäftslizenz
• Medizinische Informationen
• Hochschulabschluss
• Bescheinigungen von Kollegen oder Freunden
• Social-Media-Konto und -Aktivität

Digitale Identitäten sind mit mindestens einer digitalen Kennung verknüpft, die einen Domainnamen, eine URL Adresse oder eine E-Mail-Adresse enthalten kann. Informationen zur digitalen Identität können in einer digitalen Geldbörse gespeichert werden, ähnlich wie physische Identifikatoren sicher in einer Brieftasche bei Ihrer Person oder an einem sicheren Ort aufbewahrt werden. 

Arten der digitalen Identität

Digital Identität hat sich zusammen mit Technologie weiterentwickelt, um personenbezogene Daten (PII) vor Angreifern zu schützen.

Das früheste Modell der digitalen Identität wird als Silomodell bezeichnet. Der Benutzer müsste bei jedem Dienst, den er nutzen möchte, digitale Identitätsanmeldedaten anfordern. Der Benutzer müsste dann bei jedem Dienst jedes Mal die entsprechenden Anmeldedaten vorlegen.

Dies kann zu Reibungsverlusten für den Benutzer führen und ein Sicherheitsrisiko mit dem Potenzial für schwache Passwörter darstellen. Der Benutzer hat auch keine Kontrolle über seine Daten, z. B. was, wie und mit wem geteilt wird.

Das zweite Modell heißt Federated Identität. Die IT verwendet einen Drittanbieter für digitale Identitätsanmeldedaten, wie z. B. Facebook und Google. Bei diesem Modell erhält der Benutzer von diesem Drittanbieter eine digitale Identität Anmeldedaten, mit denen er sich dann bei weiteren Diensten anmelden kann. 

Das Identity-Management wird an einen Identity-Anbieter (Identity-Anbieter) ausgelagert, der dann zum Vertrauensvermittler wird. Diese Anbieter speichern digitale Identitäts- und Anmeldedateninformationen in einer zentralen Datenbank, oft mit finanziellem Anreiz dazu. Dies bringt sowohl Datenschutz- als auch Sicherheitsprobleme mit sich. 

Der dritte, weiterentwickelte Typ der digitalen Identität ist die selbstbestimmte Identität. Dieses Modell berücksichtigt die Datenschutz- und Sicherheitsbedenken des Benutzers und bietet ein reibungsloses Benutzererlebnis. 

Vorteile der selbstsouveränen Identität

Im Jahr 2021 wurden der Federal Trade Commission (FTC) fast 1,5 Millionen Meldungen über Identitätsdiebstahl gemeldet. 

Durch die Verwendung von SSI erhält der Benutzer die Kontrolle über seine digitale Identität und kann eine sicherere Methode bieten, vertrauliche Informationen vor den falschen Händen zu schützen. Zu den Vorteilen von SSI gehören unter anderem die folgenden:

• Die Ausstellung der Anmeldedaten ist schnell und einfach.
• Anmeldedaten können jederzeit und an jedem Ort überprüft werden, unabhängig davon, ob der Aussteller noch existiert und online ist.
• Die Verschlüsselung stellt sicher, dass die Anmeldedaten manipulationssicher sind.
• Mit der selektiven Identitätsdisclosure-Technologie werden digitale Identitäten privat gehalten und unter der Kontrolle des Benutzers gehalten. Der Benutzer entscheidet, welche Informationen offengelegt werden sollen, und behält die Kontrolle über die Beziehung mit dem ID-Verifizierer.
• Ein digitaler und sicherer Okta-Community-zu-Okta-Community-Kanal wird verwendet, um den Aussteller der ID, den Besitzer der ID (den Benutzer) und den Prüfer der ID zu verbinden. Nicht einmal der SSI-Systemanbieter weiß, welche Informationen geteilt werden.
• SSI verwendet ein dezentrales System, was bedeutet, dass persönliche Identitätsinformationen nicht auf einem zentralen Server gespeichert werden und daher für einen Angreifer viel schwieriger zu hacken sind.
• Meistens müssen Sie bei SSI nur das Passwort für Ihr digitales Wallet kennen und nicht mehrere Passwörter für verschiedene Sites. Dies trägt dazu bei, eine mögliche Passwortmüdigkeit zu reduzieren, die zu unsicheren, schwachen und wiederholt verwendeten Passwörtern führen kann.

Selbstsouveräne Identität auszeichnen

Bei SSI gibt es ein Dreieck des Vertrauens zwischen dem Eigentümer der digitalen ID (dem Benutzer), dem Aussteller der Anmeldedaten (eine vertrauenswürdige Entität) und dem ID-Verifizierer (in der Regel ein Dritter). Der Eigentümer der digitalen ID entscheidet, wie und auf welche Weise seine Informationen weitergegeben werden. 

Es gibt zwei Hauptmethoden der Authentifizierung, die verwendet werden, um die Privatsphäre der digitalen ID zu wahren und es dem Inhaber der ID zu ermöglichen, nachzuweisen, dass er die erforderlichen Anforderungen erfüllt. Dies geschieht, ohne dass alle identifizierenden Informationen angezeigt werden. 

Die erste Methode ist die selektive Offenlegung, die es dem Benutzer ermöglicht, Nachweise aus einigen wenigen Attributen seiner Anmeldedaten zu generieren. Sie können beispielsweise ihr Alter nachweisen, indem sie ihr Geburtsdatum von einem amtlichen Ausweis weitergeben, ohne auch die restlichen Daten dieses Ausweises weiterzugeben, der eine persönliche Adresse und mehr enthalten kann. 

Die zweite Methode der Authentifizierung ist der Zero-Knowledge-Proof (ZKP). Bei dieser Methode wird die Verschlüsselung verwendet, um nachzuweisen, dass der Inhaber der ID eine bestimmte Anforderung erfüllt, ohne die unterstützenden Informationen tatsächlich weiterzugeben. 

SSI verwendet asymmetrische Verschlüsselungsverfahren, die bei der Herstellung einer Verbindung zwischen dem Aussteller einer ID und dem Inhaber der ID einen öffentlichen und einen privaten Schlüssel generieren. Der öffentliche Schlüssel wird zwischen beiden Parteien geteilt, während der private (geheime) Schlüssel zum Überprüfen der Informationen verwendet wird. Jede dieser Verbindungen wird sicher in der digitalen Geldbörse gespeichert.

Beispiele für selbstsouveräne Identität in der realen Welt

SSI kann in einer Vielzahl von Branchen helfen, die Benutzererfahrung zu verbessern, staatliche Bürokratie abzubauen, Bankpraktiken zu verbessern, das Gesundheitswesen zu rationalisieren, akademischen Betrug aufzudecken, Verletzungen des Schutzes personenbezogener Daten zu vermeiden, die Einhaltung der DSGVO (Datenschutz-Grundverordnung) zu gewährleisten und Personen, deren ID-Ausgabestelle nicht mehr existiert, dabei zu helfen, ihre Identität zu überprüfen.

Nachfolgend sind einige Beispiele aus der Praxis für die Verwendung einer selbstbestimmten Identität aufgeführt:

• Die Vorsehung von British Columbia, Kanada, verfügt über das erste Produktionsökosystem in Indy, das sich auf das verifizierbare Unternehmensnetzwerk (VON) stützt, um ein dezentrales Identitätssystem bereitzustellen. In Kanada muss jeder Geschäftsinhaber drei verschiedene Steuernummern von drei verschiedenen Ebenen der Regierungsbürokratie haben: lokal, provinziell und bundesweit. Bei SSI stellt nur ein vertrauenswürdiges Unternehmen innerhalb dieser Wertschöpfungskette digital verifizierbare Anmeldedaten aus, die die anderen Unternehmen verifizieren können.
• Die European Blockchain Services Infrastructure (EBSI) ist ein weiterer Versuch, die SSI-Fähigkeiten zu nutzen, um EU-weite grenzüberschreitende öffentliche Dienste zu starten und zu betreiben, die es den Nutzern ermöglichen, ihre eigene Identität zu kontrollieren, ohne sich auf zentralisierte Behörden verlassen zu müssen.

Selbstsouveräne Identität kann auch für das Bankwesen, das Gesundheitswesen, die humanitäre Hilfe und die Personalbranche (HR) von Vorteil sein. Im Bankwesen kann SSI dazu beitragen, Benutzerdaten zu sichern und die Privatsphäre zu wahren, was wiederum bei der Einhaltung der Know Your Customer (KYC)-Vorschriften und branchenüblicher Compliance hilfreich sein kann. 

Denken Sie zum Beispiel an den ganzen Papierkram und die verschiedenen Stellen, die an der Sicherung einer Hypothek beteiligt sind. Mit einer selbstsouveränen Identität könnte dieser Prozess rationalisiert werden.

Wenn SSI im Personalwesen eingesetzt wird, könnte es das Onboarding von Mitarbeitern beschleunigen und Einzelpersonen dabei helfen, die erforderlichen Informationen zu überprüfen, selbst wenn die ausstellende Behörde nicht mehr existiert. Dies kann zum Beispiel besonders hilfreich für Geflüchtete sein, die keine Möglichkeit haben, ihren Abschluss oder ihre Geschäftserlaubnis nachzuweisen, wenn die ausstellende Institution inzwischen zerstört wurde. 

Im Gesundheitswesen ist die Identität eines Patienten äußerst wichtig, doch viele der an der umfassenden medizinischen Versorgung beteiligten Systeme kommunizieren nicht richtig miteinander. Eine selbstbestimmte Identität könnte sicherstellen, dass Patienten die Behandlung erhalten, die sie benötigen, und gleichzeitig vertrauliche Identitätsinformationen schützen.

Zusätzliche Ressourcen

Für weitere Informationen über die Sicherheit und den Komfort einer digitalen Geldbörse kann diese Ressourcen helfen. Mehr erfahren über die Blockchain-Technologie finden Sie hier. Darüber hinaus bietet Okta weitere Details zu Federated Identität. 

Letztlich handelt es sich bei der selbstsouveränen Identität (SSI) um eine Art digitales Identitätsmodell, das Benutzern dabei helfen kann, die Verwendung und Anzeige ihrer Daten zu schützen und zu kontrollieren und dabei ein hohes Maß an Privatsphäre und Sicherheit bietet.

Referenzen

Verifiable Anmeldedaten Data Model v1.1. (März 2022). W3C.

Neue Daten zeigen, dass die FTC im Jahr 2021 2,8 Millionen Betrugsmeldungen von Verbrauchern erhalten hat. (Februar 2022). Federal Trade Commission (FTC).

Datenschutz-Grundverordnung (DSGVO). Intersoft Consulting.

Dezentrale Identität. (Dezember 2018). Regierung von British Columbia.

Europäische grenzüberschreitende Dienstleistungen mit EBSI. Europäische Kommission EBSI.

Was ist eine digitale Geldbörse? (März 2022). U.S. News & World Report.

Was ist Blockchain? (2022). Euromoney Institutional Investor, PLC.

Was ist Federated Identität? (2022). Okta.