In den letzten Wochen gab es, aufgrund des ID-Wallet Projektes, einige Artikel und Kommentare, die Dezentrale Digitale Identitäten, auch Self Sovereign Identities (SSI) genannt, mit Blockchain Technologie gleich setzten. Es wird der Eindruck vermittelt, dass SSI nur gemeinsam mit einer Blockchain funktioniert. Spoiler, das ist nicht so.
Wieso dies nicht so ist, versuche ich im Folgenden vereinfacht zu erklären.

Der Begriff Blockchain wird in diesem Artikel stellvertretend für alle Distributed Ledger Technologien (DLT) verwendet. Darunter fallen sämtliche public Blockchains wie Bitcoin oder Ethereum, permissioned/public -, und permissioned/private Blockchains.

Was bedeutet dezentral bei Dezentralen Digitalen Identitäten?

Das “dezentral” bezieht sich nicht auf Blockchains. Dezentral bedeutet, dass die Daten einer Person, bei der Person selbst gespeichert und unter deren Kontrolle sind. Meist sind die Daten auf dem Smartphone, auf einer sogenannten Wallet, gespeichert. Eine SSI Wallet hat auch nichts mit dem Verwahren von Kryptowährungen zu tun. Herkömmliche digitale Identitätssysteme speichern die Daten auf dem Server des Anbieters, also zentral.

Privater- und öffentlicher Schlüssel, was ist das?

Dezentrale Digitale Identitäten sind nur aufgrund von Kryptographie möglich. Einer der Grundpfeiler ist die asymmetrische Verschlüsselung. Mittels eines kryptographischen Verfahren wird ein Schlüsselpaar erzeugt. Das Paar besteht aus einem öffentlichen- und einem privaten Schlüssel. Wie die Namen schon verraten, muss der private Schlüssel privat bleiben und der öffentliche Schlüssel kann geteilt werden. Mit diesem Schlüsselpaar kann man zwei Dinge tun:

• Man kann eine Nachricht verschlüsseln.
  Die Verschlüsselung erfolgt mit dem öffentlichen Schlüssel und Entschlüsselung mit dem privaten.
• Man kann eine Datei signieren.
  Die Signatur erfolgt mit dem privaten Schlüssel und die Prüfung der Signatur erfolgt mit dem öffentlichen Schlüssel.

Für die weitere Erklärung ist die Signaturfunktion wichtig.

Dezentrale Digitale Identität und digitale Signaturen.

In einem SSI System, erzeugt ein Aussteller die Daten (z.B. einen Führerschein), signiert diese digital und übergibt sie dem Empfänger. Der Empfänger kann den signierten Datensatz oder Teile davon an einen Prüfer schicken. Der Prüfer kann mit dem öffentlichen Schlüssel des Ausstellers die Echtheit der Daten prüfen.

Wie kommt der Prüfer zum öffentlichen Schlüssel?

Damit der Prüfer die Daten prüfen kann, benötigt er den öffentlichen Schlüssel des Ausstellers. Aber wie kommt er zu diesem? In herkömmlichen Systemen, wie zum Beispiel bei SSL Zertifikaten, wird eine zentrale Stelle kontaktiert. Unser Browser fragt bei einer Registrierungsstelle nach, ob das Zertifikat der Website registriert ist. Damit stellt unser Browser sicher, dass wir uns nicht auf einer gefälschten Seite befinden. Die Nachteile dieser Methode sind, die Abhängigkeit von einem zentralen Dienst und das Sammeln von Informationen über unsere Aktivitäten.

Blockchain, Blockchain, Blockchain.

Für die Speicherung und Abfrage des öffentlichen Schlüssels kann man auch eine Blockchain verwenden. Hier ist zu betonen, dass die Blockchain keinerlei Sicherheit gibt, ob der hinterlegte Schlüssel wirklich vom vorgegebenen Aussteller stammt. Es muss gewährleistet sein, dass der Aussteller auch der ist, für den er sich ausgibt. Dies kann nicht durch Technologie alleine erreicht werden. Es müssen auch organisatorische- und Prozessvorgaben erstellt werden. Oft wird von Governance oder einem Trust-Framework gesprochen. Dies ist aber ein anderes Thema und würde den Rahmen sprengen. Der theoretische Vorteil einer Blockchain ist, dass sie dezentral ist und theoretisch jeder Prüfer eine Kopie eines Blockchainknoten vorhalten kann und so sichergestellt ist, dass man keinen zentralen Dienst kontaktieren muss. In der Realität erfolgt die Abfrage aber auch meist bei einem zentralen Dienst, der selbst einen Knoten betreibt und die Information zur Verfügung stellt.

Kann man auch andere Speicherorte als Blockchains für die öffentlichen Schlüssel verwenden?

Ja man kann. Es wäre sogar möglich bestehende PKIs (Public Key Infrastructures) zu verwenden. Es muss nur sichergestellt werden, dass der Datenschutz eingehalten wird und kein Dritter Informationen über die Benutzung der Daten erhält. Ein weiterer Aspekt ist natürlich die Abhängigkeit von einem zentralen Dienst. Stellt dieser den Dienst ein, oder löscht einzelne Schlüssel, kann der Schlüssel nicht mehr geprüft werden. Auf diese Aspekte muss im Design eines Trust-Frameworks Rücksicht genommen werden. Hier könnten wieder dezentrale Technologien hilfreich sein…

Die folgende Grafik stellt ein Beispiel dar, indem 2 Dokumente von 2 unterschiedlichen Ausstellern von einem Prüfer geprüft werden. Der erste Aussteller, in diesem Fall eine Bank, verwendet ein Blockchain Netzwerk, um seinen Schlüssel abzulegen, der zweite Aussteller, eine Behörde, verwendet ein bereits existierende PKI.

Fazit

In den letzten beiden Jahren hat sich die SSI Community von der Blockchain Technology emanzipiert. Man hat erkannt, dass eine Blockchain nicht unbedingt eine Voraussetzung ist, um eine Digitale Dezentrale Identität zu realisieren. Und es gibt auch nicht das eine Blockchain-Netzwerk, auf der ein SSI System aufbauen muss. Es ist egal welches, solange sie Sicherheits- und Betriebsstandards erfüllt.
Es ist auch schwierig, dass zum Beispiel Behörden, ihre derzeitigen bestehenden PKI Implementierungen aufgeben werden. Daher kann es Sinn ergeben auf bestehende PKIs aufzusetzen.

Diesen Rahmenbedingungen trägt auch Jolocom Rechnung und entwickelt seine nächste Generation von SSI Technologie unabhängig vom darunterliegenden Speicher, PKI oder Blockchainnetzwerken. Jeder beliebige Speicherort kann angebunden werden.

Wichtiger als die Frage, der eingesetzte Technologie, ist die Definition der Organisation und der Prozesse, damit eine sichere PKI und das höchste Maß an Datensicherheit für die Bürger gewährleistet ist.