Dezentrale Identitäten sind ein relativ neues, aber stark wachsendes Thema. Microsoft hat mit Azure Active Directory Verifiable Credentials eine eigene Implementierung vorgelegt und erste Anwendungsfälle in Aussicht gestellt:
Um sich dem Thema zu nähern, ist es notwendig, die Begriffe „Decentralized Identifiers“ und „Verifiable Credentials“ zu betrachten.
Decentralized Identifiers (DIDs) sind global eindeutige Kennzeichen, die auf dezentralisierten Systemen basieren (wie z.B. Blockchains) und dadurch vor Manipulationen geschützt sind. DIDs können für Personen vergeben werden, aber ebenso für andere Entitäten (wie Unternehmen oder IoT-Geräte etc.). Der öffentliche Schlüssel einer DID liegt im dezentralen System, der private Schlüssel beim Inhaber der DID, der damit nachweisen kann, dass ihm die DID gehört. Man kann beliebig viele DIDs haben und ist bei der Erstellung und Verwaltung nicht von einer zentralen Autorität abhängig.
Standardisiert wurden DIDs vom World Wide Web Consortium (W3C) in Version 1.0 im August 2021 (https://www.w3.org/TR/did-core/). DIDs beginnen mit „did“, darauf folgt die DID-Methode (von der es durch unterschiedliche Implementierungsprojekte über einhundert verschiedene gibt), danach kommt der methodenspezifische Identifier.
Wenn an DIDs Informationen gebunden werden, dann entstehen Verifiable Credentials (VCs). Prinzipiell kann jeder jedem ein VC mit beliebigem Inhalt ausstellen. Das bedeutet, dass im dezentralen System hinterlegt wird, zu welcher bestimmten DID welche bestimmte Information gehört. Will sich nun jemand mit seinem VC gegenüber einem Dritten ausweisen, dann überprüft dieser Dritte im dezentralen System, ob die mit dem VC verbundene Behauptung korrekt ist. Unabhängig davon muss der Dritte aber für sich entscheiden, ob der Aussteller vertrauenswürdig ist.
Die möglichen Anwendungsfälle für DIDs und VCs sind enorm vielfältig. Sie reichen vom digitalen Personalausweis, über Impfzertifikate bis hin zu lebenslangen Nachweisen für Ausbildungszeugnisse. Es kann aber auch schlicht der Nachweis sein, dass man im Besitz einer bestimmten Email-Adresse ist oder eine gewisse (selbst attestierte) Kleidergröße hat. Die Flexibilität des Systems ohne zentrale Autorität, kombiniert mit vom Anwender selbst erstellten und verwalteten DIDs, ermöglichen die sogenannte „Self-Sovereign Identity (SSI)“:
Der Anwender gibt lediglich diejenigen Informationen über sich selbst frei, die für den konkreten Anwendungsfall notwendig sind. Dadurch erreicht man maximalen Schutz der Privatsphäre beim Benutzen von Online-Diensten, bei ärztlichen Rezepten oder beim Abschluss eines Mietvertrages. Diese Beispiele aus dem privaten Bereich lassen sich problemlos auf andere Bereiche übertragen. So kann etwa ein Dienstleistungsunternehmen die Einhaltung bestimmter Standards per VC nachweisen und vermeidet damit das wiederholte Ausfüllen langer Fragenkataloge vor Beginn der Leistungserbringung bei jedem einzelnen Neukunden.
Die von Microsoft verwendete DID-Methode nennt sich Identity Overlay Network (ION), die letztlich auf der Bitcoin Blockchain und dem InterPlanetary File System (IPFS), einem verteilten Peer-to-Peer-Dateisystem, basiert. Auf der Bitcoin Blockchain werden Transaktionen gespeichert, die einen Wert für OP_RETURN enthalten. Diese Werte sind Hashes von und damit eindeutige Verweise auf Dateien im IPFS.
ION Nodes suchen in der Blockchain nach den Hashes und laden sich dann von IPFS die zugehörigen Dateien. Beim Betrieb eines eigenen ION Nodes bindet man sich für die Bitcoin-Transaktionen ein eigenes Bitcoin Wallet ein. Nutzt man „ION-as-a-Service“, sprich Azure Active Directory Verifiable Credentials, dann nimmt einem Microsoft den Betrieb des ION Nodes ab. Man betreibt dann selbst lediglich simple Issuer- und/oder Verifier-Instanzen, den Rest übernimmt Azure.
In diesem Showcase bin ich Mitarbeiter des IT-Dienstleisters. In meinem Wallet (Microsoft Authenticator App) habe ich bereits ein Verifiable Credential. Das habe ich mir von einem Videoident-Anbieter besorgt, der mich anhand meines Ausweises identifiziert hat.
Dieses VC der fiktiven „Videoident GmbH“ ist im Showcase von mir selbst ausgestellt. Es gibt aber bereits Anbieter, die mit Microsoft kooperieren, um genau das möglich zu machen.
Um Zugang zu einer bestimmten Anwendung des Kunden zu bekommen, besorge ich mir ein weiteres VC. Dafür scanne ich einen QR-Code.
Danach muss ich nachweisen, dass ich bereits das Videoident VC habe und ich muss mich zusätzlich am Azure AD anmelden, um die Berechtigung auf die Anwendung nachzuweisen.
Nun gehe ich zur Anwendung des Kunden, scanne einen weiteren QR-Code und kann dann die Anwendung nutzen.
Wir sind für SIE da.
Auch für Ihre Herausforderung bieten wir die passende Lösung. Zögern Sie nicht uns zu kontaktieren. Wir unterstützen Sie gerne.
MICHAEL WILDGRUBER | Teamlead Digital Workplace – Cloud Productivity