Blog

Voilà, mein QR Code: Wie SSI die Identitätsprüfung in der realen Welt revolutionieren könnte

3 Min. Lesezeit

Self-Sovereign Identity gibt Nutzern die Kontrolle über ihre Daten in der digitalen Welt zurück. Der Ansatz liesse sich auch auf die reale Welt anwenden. Sogar deutlich vereinfacht.

Wir leben in einer von Informationen geprägten vernetzten Welt, in der wir nur begrenzt die Kontrolle über unsere privaten Daten haben. Umfragen zeigen, dass die Mehrheit der Menschen besorgt ist über den Datenschutz und die mangelnde Transparenz darüber, welche Möglichkeiten ihnen offenstehen, um die Kontrolle zurückzuerlangen. Self-Sovereign Identity (SSI) bietet eine überzeugende Vision einer Zukunft, in der der Einzelne autonomer darüber entscheiden kann, wann, wie und in welchem Umfang er Informationen mit anderen teilt. Wir beschreiben hier eine praktische Anwendung von SSI in der analogen Welt, die die Art revolutionieren könnte, wie wir uns im Alltag ausweisen, z.B. wenn wir einem Polizisten den Führerschein zeigen oder Güter kaufen, für die ein Mindestalter erforderlich ist.

Vorzüge von SSI auch in der analogen Welt nutzen

SSI umfasst eine Reihe von Ansätzen für den Umgang mit der digitalen Identität. Sie versprechen Nutzern eine ganz neue Dimension von Datenschutz, Flexibilität und Kontrolle, wenn sie ihre Identität nachweisen oder Dritten gegenüber Daten offenlegen. Der gewichtigste Vorteil von SSI: Der Nutzer kann seine Identität bestätigen, ohne auf eine zentrale Behörde angewiesen zu sein, und die Informationen, die er preisgeben muss, zugleich auf ein Minimum beschränken.

Von SSI ist zwar vor allem im Zusammenhang mit digitalen Diensten (auf Website einloggen, E-Government-Dienste nutzen usw.) die Rede. Doch hat es auch das Potenzial, physische Formen der Identifikation zu ersetzen, etwa den Studentenausweis oder den Pass. Dabei ginge es allerdings um viel mehr, als einfach bestehende physische Lösungen durch das digitale Gegenstück abzulösen. Eine SSI-Lösung für die analoge Welt bietet zusätzliche Vorteile, z.B. die selektive Weitergabe von Informationen. So wäre es möglich, dem Verkäufer beim Kauf von Alkohol nur das Alter bekanntzugeben, d.h. ohne all die sensiblen Informationen offenzulegen, die ein physischer Ausweis sonst noch enthält. Noch bestechender: SSI ermöglicht sogenannte Zero-Knowledge Proofs. Dabei wird eine bestimmte Bedingung verifiziert, die zugrundeliegende Information aber nicht preisgegeben. Beispielsweise könnte ein Nutzer beweisen, dass er die Altersanforderung für den Kauf erfüllt, ohne sein Geburtsdatum offenzulegen. Indem SSI auf diese kryptographische Sicherheit abstützt, würde es die ungewollte Bekanntgabe privater Daten massiv verringern und dem Nutzer die Kontrolle zurückgeben – eine deutliche Abkehr von der aktuellen Situation.

Warum stellt die Nutzung von SSI im Alltag eine Herausforderung dar?

Bei der praktischen Anwendung von SSI interagieren Nutzer normalerweise über ein digitales Portemonnaie («Wallet») auf ihrem Smartphone mit Diensten. Dieses Wallet wird genutzt, um die digitalen Nachweise zu speichern und abzurufen. Die Lösungen, die mit Websiten und digitalen Diensten interagieren, funktionieren in der analogen Welt jedoch schlecht. Zu gross sind die Vorbehalte gegenüber der Nutzerfreundlichkeit, sodass sich diese Lösungen kaum durchsetzen dürften.

Insbesondere das aktuelle Modell stützt sich auf die prüfende Instanz («Verifier») – z.B. die Website, auf der sich ein Nutzer einloggen will –, um den Verifikationsprozess zu starten. Dazu gibt der Verifier üblicherweise einen QR code aus, den der Nutzer mit seinem Smartphone scannt. Nun beginnt ein Hin und Her zwischen Nutzer («Holder») und Prüfer. Der Nutzer muss zunächst die Einladung akzeptieren und dann auf die Abfrage bestimmter Informationen durch den Prüfer warten, bevor er die Daten in Form eines Verifiable Credential preisgibt. Für die Online-Authentifizierung ist dieser vom Prüfer angestossene Prozess sinnvoll, in der realen Welt weniger. Hier braucht es einen viel einfacheren und direkten Prozess, der vom Nutzer initiiert wird.
blog_ssi_figure_1
Hin und her: der typische Online-Prüfprozess

SSI in der realen Welt zum Standard machen

Wir haben untersucht, wie praktikabel ein neuer SSI-Ansatz ist, der für das mobile Portemonnaie und Interaktionen in der physischen Welt optimiert wurde. Dazu haben wir einen nativen Prototyp einer mobilen Wallet für Android mit Aries AIP 2.0 als Proof of Concept und Showcase entwickelt.


blog_ssi_figure_3Je einfacher, desto besser: ein schlanker Prozess, bei dem der Nutzer die Kontrolle hat

Bei diesem Ansatz startet der Nutzer bzw. «Holder» den Prozess (auf mündliche Aufforderung durch den Verifier), indem er sein mobiles Portemonnaie öffnet und einen QR Code vorzeigt. Der Prüfer scannt den Code und erstellt mittels DIDComm einen sicheren privaten Kanal zwischen den beiden Parteien. Über diesen Kanal empfängt und verifiziert der Prüfer die im Verifiable Credential enthaltene gewünschte Information. Dadurch wird der Prozess gestrafft und der Schwerpunkt stärker auf den Nutzer gelegt, der selbst entscheiden kann, welchen QR Code (d.h. welche Informationen) er weitergeben will.

Wir empfehlen überdies, für die Anwendung von SSI in der realen Welt sogenannte «edge mobile wallets» zu nutzen, bei denen sämtliche Daten auf dem Gerät des Nutzers gespeichert sind. Bei «hosted wallets», bei denen die Daten zentralisiert werden, gehen zahlreiche der beschriebenen Vorteile verloren. Ein weiterer Vorteil von Edge Wallets: Sie erlauben künftig komplette Peer-to-Peer- (oder Offline-) Verbindungen, z.B. via Bluetooth. Damit wird es letztlich möglich, SSI in der realen Welt in viel mehr Situationen zu nutzen.

Wie weiter?

Trotz einiger offener Fragen steht zweifelsfrei fest, dass SSI gegenüber den heutigen Möglichkeiten zahlreiche Vorteile bietet – nicht nur in der digitalen Welt, sondern wie hier gezeigt auch in der analogen. Wir wollen mit unserem Referenzentwurf, der sich in der realen Welt einfach nutzen lässt, dazu beitragen, dass künftig jede und jeder seine Identität nachweisen und Daten weitergeben kann, während Privatsphäre, Sicherheit und Autonomie bestmöglich gewahrt werden.

Erfahren Sie wie SSI die Identitätsprüfung in der realen Welt revolutionieren könnte

Download Whitepaper

Publiziert am 21 Sep 2022

icon