Blog

Mit repräsentativen Use Cases das Potenzial von Self-Sovereign Identity ausloten

5 Min. Lesezeit

Unsere Self-Sovereign-Identity-Initiative mit SwissSign, dem Kanton AG und cardossier zeigt es: Auch wenn noch Unsicherheiten bezüglich technischer Maturität und Governance bestehen – SSI kommt und bringt markante Vorteile beim Datenschutz und der organisationsübergreifenden Digitalisierung.

Self-Sovereign Identity: weit über die digitale Identität hinaus

Seitdem Self-Sovereign Identity (SSI) als mögliche Lösung für die neue Schweizer E-ID ermittelt wurde, steht diese neue Technologie im Rampenlicht – umso mehr nach dem Richtungsentscheid des Bundesrats vom 17. Dezember 2021. Dabei zeigt sich, dass SSI weit über die Herausgabe eines digitalen Ausweises hinausgeht. Erst im Kontext eines Ökosystems digitaler Nachweise entfaltet SSI sein volles Potenzial. Der Bund hat dies in seinem Diskussionspapier "Zielbild E-ID" erkannt und dieses Potenzial anhand von drei Ambitions-Niveaus abgebildet: 

Ambitions-Niveau-E-ID_DEAmbitionsniveaus (Quelle: Bundesamt für Justiz)

Doch wie passen diese Technologie und dieses Konzept nun in die Realität?

Umfang und Teilnehmer unserer SSI-Initiative

Es gibt keinen besseren Weg, eine neue Technologie zu verstehen und ihren potenziellen Mehrwert zu beurteilen, als eine konkrete Implementierung auf der Basis repräsentativer Use Cases. Wir haben daher gemeinsam mit SwissSign, dem Kanton Aargau und dem Verein cardossier eine Initiative lanciert mit dem Ziel, ein exemplarisches SSI-Ökosystem aufzubauen. Damit wollen wir die Voraussetzungen schaffen, um die folgenden Fragen genauer zu untersuchen und wenn möglich zu beantworten: 

  • Technologie: Was ist die Maturität und die Komplexität von SSI in Bezug auf die Entwicklung und den Betrieb von SSI-basierten Lösungen? Wie sieht der passende Technologie-Stack für die jeweilige Anwendung aus?
  • Benutzererfahrung: Wie soll die User Experience gestaltet werden, um eine hohe Nutzerakzeptanz sicherzustellen und das Konzept der Endnutzer-Wallet verständlich zu machen?  
  • Business: Wie sehen der Mehrwert und die Anwendungsfälle aus für unsere Kunden, die als Aussteller oder Prüfer (Service Provider) agieren, sowie für deren Kunden?
  • Compliance: Welche Governance-Grundsätze, Prozesse und Best Practices sind notwendig, um eine optimale Compliance zu gewährleisten?

Das exemplarische SSI-Ökosystem besteht aus drei aufeinander aufbauenden Use Cases, die die Herausgabe und die Nutzung von digitalen Nachweisen in der Form von SSI-Verifiable Credentials (VC) beleuchten. 

Die drei Use Cases, die die drei oben dargestellten Ambitions-Niveaus widerspiegeln, sind die folgenden: 

1.    Ausstellen einer Basis-Identität oder Basis-ID auf der Grundlage einer SwissID: Eine Reihe von Nutzern konnten mit einem verifizierten SwissID-Account unsere SSI-Initiative hands-on testen. Im ersten Use Case haben sich die Nutzer mit ihrem produktiven SwissID-Login auf dem SwissID-Portal eingeloggt. Auf dem Portal werden die Nutzer visuell begleitet – von der Installation einer geeigneten Wallet bis zur Ausstellung und Speicherung der Basis-ID als Verifiable Credential auf dem Smartphone. 

2.    Ausstellen einer Wohnsitzbescheinigung im eGov-Portal: Mit der im ersten Schritt erstellten Basis-ID loggt sich der Nutzer auf dem eGov-Portal des Kantons Aargau ein. Die Anmeldung geschieht mittels SSI und verlangt nach E-Mail, Namen und Vornamen aus der Basis-ID. Die anderen Daten der Basis-ID bleiben verborgen. Das eGov-Portal kann den Daten aus der Basis-ID vertrauen und diese verifizieren. Die Daten werden verwendet, um für die Person eine Wohnadresse aus dem System zu laden. Der Nutzer kann die Wohnadresse dann als ein Verifiable Credential in der mobilen Wallet speichern. Am Ende von Use Case 2 hat der Nutzer die Basis-ID sowie die Wohnsitzbescheinigung in seiner Wallet. 

3.    Initiieren einer vorläufigen Verkehrsberechtigung eines Fahrzeugs im cardossier-Portal: Bei der Anmeldung eines Fahrzeugs sind zahlreiche Akteure beteiligt, wie der Versicherungsnehmer, die Versicherung, die Garage und natürlich das Strassenverkehrsamt. Zudem sind damit viele Formalitäten verbunden. Ziel dieses Anwendungsfalls ist es, die Anmeldung eines Fahrzeugs zu erleichtern, indem der cardossier-Plattform die Identität und die Wohnsitzbescheinigung des Versicherungsnehmers als Verifiable Credentials zur Verfügung gestellt werden. Anschliessend führt cardossier gemeinsam mit der betreffenden Versicherung und dem Strassenverkehrsamt die weiteren Anmeldeschritte automatisch durch.

 

SSI-Initiative-Overview-DEUse-Case-Übersicht der SSI-Initiative

Was haben wir bis jetzt implementiert und wie?

Die Use Cases 1 und 2 wurden im Sommer 2021 innerhalb von sechs Wochen agil implementiert. Die Projektpartner waren aktiv am Design, an der Umsetzung und an der Evaluation beteiligt. Sie konnten praktische Erfahrung sammeln, ungefilterte Erkenntnisse gewinnen und bei den wöchentlichen Sprintreviews den Puls des Projekts fühlen.

Die Nutzung von produktiven Daten und die Anbindung von produktiven Systemen spiegeln realitätsnahe Rahmenbedingungen wider und ermöglichen es, konzeptionelle und technische Schwächen aufzudecken.

Dank der Unterstützung von frei verfügbaren Wallets (esatus, Trinsic und Lissi) konnten wir die Testpersonen einfach onboarden und die Maturität der Produkte auf dem Markt abschätzen, die für den Erfolg eines SSI-basierten Ökosystems zentral ist. 

Die Nutzung sowohl von Open-Source-Komponenten (Hyperledger Indy und Aries) für den Use Case 1 als auch von Produkten (esatus SOWL) für den Use Case 2 halfen uns, tief in die Technologie einzutauchen (und sie zu verstehen) sowie den Mehrwert der Produkte abzuschätzen. 

Usability Tests mit Endnutzern rundeten das Projekt ab und ermöglichten es uns, die Akzeptanz der Lösung durch die Benutzer zu messen. 

Live-Demo

Das folgende Video zeigt den Ablauf der Use Cases 1 und 2, verwendet wurde das Trinsic Wallet:

 


Lehrreiche Implementierung und pointierte Erkenntnisse


Dank der SSI-Initiative haben wir wichtige positive Erkenntnisse zu den oben genannten Fragen gewonnen: 

  • Die Testnutzer empfanden es als sehr positiv, dass sie die Kontrolle über ihre eigenen Daten haben, und begrüssten die Transparenz des Prozesses.
  • Mit Hilfe von SSI sind neue Paradigmen in Bezug auf Datenschutz bei der Entwicklung von Applikationen möglich:​​​​​​
    • Ein Service Provider muss beispielsweise Benutzerdaten nicht mehr speichern, sondern kann sie bei Bedarf beim Benutzer nachfragen. Somit kann er seine DSGVO-Pflichten bezüglich Datensparsamkeit leichter erfüllen. 
    • Einsatz sogenannter Zero Knowledge Proofs: Der Benutzer kann beispielsweise beweisen, dass er im Kanton Aargau wohnhaft ist, ohne seine Wohnsitzadresse mitzuteilen.
  • Die Integration mit bestehenden IdP-Infrastrukturen via den bekannten Protokollen (wie OIDC oder SAML) ist problemlos möglich.
  • Etablierte Compliance-Prozesse wie Key Ceremony lassen sich ebenfalls im SSI-Kontext verwenden.
  • Die Vertrauensstufen bestehender digitaler Nachweise können auf neue Verifiable Credentials übertragen werden. 
  • Die frei verfügbaren Wallets, die kommerzielle SSI-Lösung und die Open-Source-Komponenten sind miteinander kompatibel. 

 

Auf der anderen Seite wurden auch negative Aspekte deutlich:

  • SSI ist eine Herausforderung für die User Experience (UX), da viele Interaktionen zwischen Browser und Smartphone nötig sind, sodass es den Nutzern zu viele Wechselwirkungen im Prozess waren.
  • Die auf dem Markt verfügbaren Wallets dienen eher der technischen Demonstration als der Benutzerfreundlichkeit, was viele Testnutzer bemängelten.
  • SSI bringt als ein verteiltes System eine gewisse Komplexität mit sich und erfordert ein Grundverständnis der verwendeten kryptographischen Protokolle.
  • Die Identifikation der einzelnen Service Provider als Verifiers ist noch nicht abschliessend gelöst 
  • Bei der Wahl des verwendeten Distributed Ledger (Blockchain) ist neben Governance-Aspekten auch die Interoperabilität mit dem verwendeten Software Stack zu beachten. 

Anfang 2022 wird der Use Case 3 mit cardossier live gehen. Er wird die Möglichkeit aufzeigen, zwei Verifiable Credentials (Basis-ID und Wohnsitzbescheinigung) zu kombinieren und in einem digitalisierten Prozess zu nutzen. Dabei dient die Wallet quasi als «Integrationszange» und ermöglicht eine Datenminimierung, da nur relevante Daten aus den beiden Verifiable Credentials offenbart werden.

Schliessen Sie sich unserer Initiative an

Aufgrund der vielversprechenden Ergebnisse möchten wir die Initiative auf weitere Use Cases ausdehnen, um einerseits die ausgestellten Nachweise in anderen Business-Kontexten einzusetzen und anderseits die Interoperabilitäts- und die Governance-Aspekte zu vertiefen, die im Kontext eines grösseren Ökosystems besonders kritisch sind.

Wir öffnen daher die Initiative für andere Akteure, die daran interessiert sind, unser Ökosystem zu vervollständigen und mit Use Cases zu bereichern, damit wir gemeinsam das Potenzial von SSI in der Schweiz noch besser nutzen können. 

Kontaktieren Sie uns, um mehr zu erfahren!

Self-Sovereign Identity – Katalysator für digitale Ökosysteme

Publiziert am 12 Jan 2022

Autor

Picture of Stéphane Mingot
Stéphane Mingot

Head of AdNovum Incubator

icon