In diesem Sommer begannen Millionen von Menschen, eine neue Technologie zu nutzen, die die Art und Weise, wie wir unsere Daten verwalten, weitergeben und nutzen, verändern könnte.
Diese Technologie ist von zentraler Bedeutung für die Das digitale COVID-Zertifikat der Europäischen Union (manchmal fälschlicherweise als Europas "Impfpass" bezeichnet).
In nur wenigen Monaten wird diese technologiegestützte Identität (oderdezentralisierte Identität') und speziell überprüfbare Zeugnisse - wurde fast jedem in der EU zugänglich gemacht. Im Gegensatz dazu dauerte es etwa ein Jahrzehnt, bis Identitätsverbund oder Federated Identity-die Methode zur Durchsetzung von Identitätsstandards und Authentifizierungsprotokollen- als bewährtes Verfahren im Bereich der Cybersicherheit zu etablieren.
Trotz der Tatsache, dass Millionen von Menschen diese Technologien nutzen, um die Ausbreitung von COVID einzudämmen, sind verteilte Identitäten und überprüfbare Berechtigungsnachweise für viele Menschen - sogar für viele Identitätsexperten - neu. Deshalb habe ich mich sehr gefreut, diese Innovationen in einer Keynote auf der KuppingerCole's in der letzten Woche zu diskutieren. Europäische und Identitäts- und Cloud-Konferenz.
Denn so wichtig die verteilte Identität und überprüfbare Ausweise für das digitale COVID-Zertifikat der EU auch sind, die Wahrheit ist, dass wir ihr Potenzial noch lange nicht ausgeschöpft haben.
Die verteilte Identität hilft bei der Lösung eines Problems, das fast so alt ist wie das Internet: Wie kann ein Benutzer bestimmte (vielleicht sensible) Informationen sicher mit bestimmten Zuschauern teilen?
Ein Problem, das mit dem weiteren Wachstum des Internets an Dringlichkeit gewonnen hat: Heute befinden sich unsere Daten und Identitäten in der Regel unter der Kontrolle der großen Technologieunternehmen, die zentralisierte Anwendungen und Dienste betreiben. Diese Daten werden in der Regel ohne unser Wissen oder unsere Zustimmung gekauft, verkauft und verwendet, was zu erheblichen Bedenken und neuen Vorschriften geführt hat. Tim Berners-Lee, der oft als Erfinder des Internets gilt, beklagte "die Zustand des Webs und wie sie sich immer weiter von seiner ursprünglichen Vision eines digitalen Raums mit Freiheit und Gleichheit entfernt hat".
Die verteilte Identität ändert diese Dynamik. Sie ermöglicht es den Nutzern festzulegen, welche Informationen sie teilen möchten und mit wem sie diese teilen möchten.
Das digitale COVID-Zertifikat der EU nutzt die verteilte Identität, um einen digitalen Nachweis zu erbringen, dass eine Person entweder gegen COVID-19 geimpft wurde, ein negatives Testergebnis erhalten hat oder von COVID-19 genesen ist.
Wichtig ist, dass die verteilte Identität es dem Nutzer ermöglicht nur ihr Zertifikat zu teilen und es nur mit folgenden Personen zu teilen angegeben Benutzer. Der Nutzer - und nur der Nutzer - entscheidet, wer was sehen kann.
Die verteilte Identität hilft den Nutzern, die Kontrolle über ihre Daten zu erlangen und sie mit anderen zu teilen, wie und mit wem auch immer sie wollen. Im Falle des digitalen COVID-Zertifikats der EU können die EU-Bürger digital nachweisen, dass sie geimpft wurden, einen negativen Test erhalten haben oder von COVID-19 genesen sind.
Aber in diesem Fall ist die Kontrolle der verwenden. unserer Informationen allein ist nicht ausreichend. Wir müssen auch überprüfen, ob die Genauigkeit einer Forderung.
Überprüfbare Zeugnisse sind die Technologie, die dem digitalen COVID-Zertifikat der EU zugrunde liegt. Wenn ich eine verteilte Identität verwende, um zu behaupten, dass ich geimpft wurde, und diese Information mit jemandem teile, kann ich diese Behauptung mit überprüfbaren Berechtigungsnachweisen machen.
Der Aufbau des Vertrauensmodells ist dabei recht einfach und folgt dem klassischen Infrastruktur für öffentliche Schlüssel (PKI)-Modell: Das System erlaubt es einigen wenigen autorisierten Stellen - z. B. Regierungsbehörden -, die Berechtigungsnachweise auszustellen.
In Deutschland stellt zum Beispiel das Robert-Koch-Institut (ungefähr das Äquivalent zu den Centers for Disease Control in den USA) die überprüfbare Bescheinigung für mein Zertifikat aus. Die folgende komprimierte (und fiktive) überprüfbare Bescheinigung zeigt die Art von Informationen, die in einem Zertifikat enthalten sind: die Behauptung (ich habe zwei Runden des Coronavirus-Impfstoffs erhalten); um wen es in der Behauptung geht (mich); wer die Behauptung ausgestellt hat (das Robert-Koch-Institut); und eine "Unterschrift" (Beweis), die verhindert, dass jemand anderes die Behauptung ändert oder erstellt.
Ich kann diese Forderung zu einer App für digitale Geldbörsen hinzufügen und sie bei Bedarf über mein Smartphone anzeigen. Ich könnte den QR-Code sogar ausdrucken und auf Papier mit mir führen
So würde ein verifizierter Ausweis als QR-Code aussehen, der beweist, dass ich gegen COVID-19 geimpft bin:
RSA und Janeiro Digital haben diese Technologie bereits in ähnlicher Form eingesetzt, unter anderem in einem großen Pilotprojekt im britischen Nationaler Gesundheitsdienst (NHS). Dort haben wir verteilte Identitäten und überprüfbare Berechtigungsnachweise eingesetzt, um Patienten mit Demenz, ihre Betreuer und Krankenhaussysteme bei der Verknüpfung und gemeinsamen Nutzung von Patientenakten zu unterstützen.
Sollten wir einfach die Blockchain als Grundlage für die Behauptung verwenden, dass ich die Coronavirus-Impfung erhalten habe? Kurz gesagt: Nein.
Verteilte Identität kann Arbeit an der Blockchain. In der Tat hat die EU ursprünglich versucht, mehrere sich überschneidende und voneinander abhängige Blockchains als Grundlage für das Vertrauensmodell zu verwenden. Aber für etwas wie ein COVID-Impfzertifikat ist es besser und viel einfacher, das klassische PKI-Modell zu verwenden. Auf diese Weise können Sie einschränken, wer einen verifizierten Datensatz ausstellen darf und wer nicht: Gesundheitsbehörden dürfen es, aber Einzelpersonen dürfen es nicht. Dasselbe Modell könnte auch für andere Dokumente wie Pässe, Führerscheine oder andere Bescheinigungen gelten.
Bei der Beschreibung der verteilten Identität und der überprüfbaren Berechtigungsnachweise habe ich einige grundlegende Probleme außer Acht gelassen. Es genügt zu sagen, dass kein System von Natur aus perfekt ist: Es gibt Möglichkeiten, wie dieser Prozess schief gehen kann, in der Regel als Folge von Benutzerfehlern. Ich bin selbst schon auf solche Fehler gestoßen, in der Regel, wenn mich jemand bittet, den QR-Code meines Impfausweises zu zeigen, es aber versäumt, ihn mit einer App zu scannen, die den Impfausweis validieren kann. Ich weiß nicht, wie gut Sie QR-Codes lesen können, aber egal wie sehr ich mich anstrenge, ich kann einen QR-Code nicht entschlüsseln und die digitale Signatur des Nachweises in meinem Kopf überprüfen.
Ein weiterer typischer Fehler besteht darin, nicht zu prüfen, ob die Impfbescheinigung tatsächlich auf die Person zutrifft, die den Antrag stellt. Wenn ich meinen QR-Code verwende, muss ich auch einen Ausweis (z. B. einen Reisepass) vorlegen, um nachzuweisen, dass die Angabe über den Impfstoff auf mich zutrifft. Die Person, die meinen QR-Code und meinen Reisepass überprüft, muss sich vergewissern, dass die Bescheinigung tatsächlich zu der Person gehört, die vor ihr steht.
Dass so viele Menschen verteilte Identitäten und überprüfbare Berechtigungsnachweise nutzen, ist jedoch von echtem Wert: Sie zeigen, dass es für die Nutzer einen neuen Weg gibt, ihre Daten zu kontrollieren und weiterzugeben, dass wir uns nicht mit den "Walled Gardens" der Vergangenheit zufrieden geben müssen und dass wir ein gewisses Maß an Vertrauen in das Internet aufbauen können. Sie zeigen, dass sich die Einstellung darüber ändert, wer unsere Daten kontrollieren, nutzen und weitergeben darf.
Vor allem aber zeigen sie, dass Identität nicht statisch ist, sondern sich ständig weiterentwickelt.
