Blockchain Autumn School 2020 Self-Sovereign Identity in der praktischen Nutzung - Dr. André Kudra
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
by Blockchain Autumn School 2020 Self-Sovereign Identity in der praktischen Nutzung Dr. André Kudra
Agenda
by
SSI in der Praxis Einführung SSI SeLF demo Vereinbarkeit DSGVO
Vorstellung Blockchain SSI Use cases
esatus AG Technologie
2
by
Vorstellung esatus AG
09.10.2020 3
Unser Beratungsportfolio
by
✓ Identity & Access
✓ Governance, Risk & Compliance
✓ IT Security
✓ Development Operations
09.10.2020 4Aktive Mitarbeit in relevanten Verbänden
und Organisationen by
AG Blockchain
Leitung
SSI für Deutschland /
IDunion
09.10.2020 5by
Einführung SSI
09.10.2020 6SSI für Deutschland
by
Konsortialpartner
Assoziierte Partner
Gefördert durch:
09.10.2020 7Status Quo Self-Sovereign Identity (SSI) –
Beispiele internationaler Vorhaben und Projekte by
BMWi Förderaufruf Sichere Digitale IDs EMIL
govdigital (Zusammenschluss öffentlicher IT-Dienstleister) Digitales Corona Gesundheitszertifikat
SSI für Deutschland 5 Sovrin Stewards
UK AT CH NL CAN
5 Sovrin Stewards myIDsafe (SSI) uPort / Ethereum SSI-Projekt mit Banken via Sovrin-Credentials für
Foundation Zug Dutch Blockchain Unternehmen,
2 Sovrin Stewards öffentliches Un-
Coalition
5 Sovrin Stewards ternehmensregister
5 Sovrin Stewards
Beantragung und
Verwaltung von
Zulassungen und Lizenzen
2 Sovrin Stewards
EBSI eSSIF Sovrin Network
Trust over IP Foundation
INATBA
Covid Credentials Initiative (CCI)
ID2020 GLEIF Pilotprojekt (Organization Wallets)
25 Sovrin Stewards ~80 Sovrin Stewards
09.10.2020 8Die Entwicklung der digitalen Identität
by
SELF-
USER-
CENTRIC
SOVEREIGN
IDENTITY IDENTITY
FEDERATED
IDENTITY
CENTRALIZED
IDENTITYSSI kompensiert die Nachteile zentralistischer
Identity Provider und stärkt die Nutzerposition
by
Internationale IDPs Lokale IDPs mit DE-Basis Self-Sovereign Identity
(Google, Facebook, Amazon, …) (Verimi, netID, id4me, …) (Sovrin, uPort, Blockstack, …)
Komfort Fast jeder Anwender nutzt Dienste
Anwender muss erst aufspringen Anwender muss erst aufspringen
bereits
Nutzungsraum Global Lokal (DE/EU) Global
Empowerment Anwender hat kaum Einfluss Anwender hat nur mittelbar Kontrolle Anwender hat vollständige Kontrolle
Datenablage Zentral bei IDP Zentral bei IDP (innerhalb EU) Ausschließlich beim Anwender
Skalierbarkeit Enorme Kapazitäten verfügbar Gegeben Designt für globale Nutzung
Sicherheit Erfolgreicher Angriff kompromittiert Erfolgreicher Angriff kompromittiert Dezentralität erschwert Angriffe
alles alles massiv
Datenschutz DSGVO wird ausgehebelt DSGVO glaubwürdig eingehalten Designt für DSGVO-Konformität
Standards Standards verfügbar, produktiv Standards verfügbar, produktiv Standards verfügbar, prototypisch
genutzt genutzt genutzt
Vertrauen Informierte Anwender vertrauen Informierte Anwender vertrauen
Anwender ist „ausgeliefert“
bedingt maximalSelf-Sovereign Identity, kurz SSI: Schon weit mehr als nur eine Idee by Konzept einer echten selbstverwalteten und -kontrollierten digitalen Identität Vertrauensnetzwerk, das der vernetzten Welt noch immer fehlt Recht auf digitale Identität als öffentliches Gut für JEDEN Technologie, die den Nutzer in den Mittelpunkt stellt Standards, die alle relevanten Player schon jetzt verwenden „DIDs“ und „Verifiable Claims & Credentials“ 30.04.2019 SSI: Next Generation I&A 11
SSI bietet unmittelbare Anknüpfungspunkte für
aktuelle IDPs und hebt Integrationspotenziale by
Der mit Self-Sovereign Identity proklamierte und praktisch realisierte Ansatz eines „Web-of-Trust“ verschafft für jeden Teilnehmer im
Netzwerk unmittelbare Anknüpfungspunkte, auch und insbesondere für klassische, zentralistische Instanzen wie Certificate
Authorities oder Identity Provider. Ein SSI-Ökosystem trägt dazu bei, alle Integrationspotenziale effizient und effektiv zu heben.
Self-Sovereign Identity
… ist das ideale Ökosystem zur Integration jeglicher Teilnehmer.
… integriert unkompliziert auch Teilnehmer, die bisher keine Interaktion hatten.
… liefert ein Integrationsgewebe, mit dem reale Vertrauensnetzwerke elektronisch abbildbar sind.
… transportiert Vertrauen und reicht es digital weiter.
… bietet Vertrauensdienstleistern eine Plattform für globale Diensteverbreitung (bspw. Verimi).
… passt sich domänenspezifischen Anforderungen flexibel an (bspw. „Know your customer“/KYC).
… nutzt bestehende Standards und stellt sie auf eine dezentralisierte Basis (bspw. PKI wird zur DPKI) .
… lässt sich leicht in gewachsene Strukturen integrieren (bspw. LDAP Berechtigungsmanagement).
30.04.2019 SSI: Next Generation I&A 12SSI löst mit Dynamik und Flexibilität
zentralistische Single Points of Failure ab by
Zentralistische Strukturen und technische Lösungen – wie bspw. Public Key Infrastrukturen (PKI) – lösen mit digitalen Zertifikaten
spezifische funktionale Herausforderungen, insbesondere Verschlüsselung, Authentifizierung und elektronische Signatur. Dabei sind
sie in der inhaltlichen Zertifikatsausgestaltung limitiert und stellen gleichzeitig einen Single Point of Failure dar. Mit der Self-Sovereign
Identity tritt an deren Stelle ein flexibles und dynamisches Ökosystem, das verschiedenste Anwendungsgebiete abdeckt.
Zentralistische PKI Dezentrales flexibles SSI-Netzwerk
Standardisiertes Verfahren, globale produktive Anwendung Jeder Teilnehmer kann Zertifikatsschemata definieren
Certificate Authorities (CAs) als Vertrauensdienstleister „Verifiable Credentials“ flexibel definier- und ausgestaltbar
Regulatorische Rahmenbedingungen definiert Jeder (!) kann Aussteller und Verifizierer sein
Zertifikate inhaltlich fix definiert (X.509) CAs und Industrieplayer bereits engagiert in SSI
Zentrale Stelle als Single Point of Failure „DIDs“ als World Wide Web Consortium (W3C) Standard
13Die Self-Sovereign Identity Mission & Vision
by
Lokale Use Cases Kritische Masse Internationale Use
umsetzen erreichen Cases umsetzen
Unternehmen und Behörden
SSI für I&A in Unternehmen verbinden um Skalierung und kontinuierliche
nutzbar machen. Begeisterungsmerkmale für Verbesserung.
Interessierte bereitzustellen.Vertrauensdreieck und Verifiable Credentials
by
Quelle: Sovrin™: A Protocol and Token for Self-Sovereign Identity and Decentralized Trust - A White Paper from the Sovrin Foundation - Version 1.0 - January 2018
09.10.2020 15Datenhoheit obliegt dem Identitätshalter
by
09.10.2020 16Datenhoheit obliegt dem Identitätshalter
by
✓
✓ ✓
✓ ✓
✓ ✓
✓
09.10.2020 17Datenhoheit obliegt dem Identitätshalter
by
Name
Adresse
Kreditantrag
Einkommensbescheid
09.10.2020 18Datenhoheit obliegt dem Identitätshalter
by
09.10.2020 19Datenhoheit obliegt dem Identitätshalter
by
✓
Kreditantrag
09.10.2020 20by
Blockchain Technologie
09.10.2020 21Nutzung der Distributed Ledger Technology für
digitale Identitäten by
Dezentralisiertes Ledger
Transaktionen bestätigt durch Konsens-Algorithmus
Teilnehmer sind Nodes / Nutzer / Miner
DLT – Distributed
Ledger Technology
Alle Informationen befinden sich auf allen Nodes
Integrität wird durch Verkettung sichergestellt
Authentizität durch asymmetrische Verschlüsselung
Technische Durchsetzung der CIA-Triade:
Confidentiality | Integrity | Availability
Blockchain
Vertraulichkeit | Integrität | Verfügbarkeit
Geeignet für Kryptowährungen, Supply Chains,
Nachverfolgungen und digitale Identitäten!
22Blockchains sind nicht immer gleich:
Öffentliches vs. Privates Blockchain-Netzwerk by
Wer kann validieren?
Permissionless Permissioned
✓ Robustheit ✓ Robustheit
✓ Teure Angriffe „Jeder darf lesen „Jeder darf lesen, ✓ Berechtigungen
Public
✓ Transparenz und validieren“ nur Berechtigte ✓ Transparenz
Träge Änderungen Wer hat Zugriff? validieren“ ✓ Schneller Konsens
Langsamer Konsens ✓ Rollback möglich
https://bitcoin.org https://sovrin.org Missbrauch möglich
✓ Berechtigungen
„Nur Berechtigte „Nur Berechtigte
Schneller Konsens
Private
✓
dürfen lesen, dürfen lesen und ✓ Rollback möglich
jeder darf validieren“ Missbrauch möglich
Kein sinnvolles validieren“ Erprobtere
Anwendungsszenario https://www.corda.net
Datenbanken
23Beispiel Sovrin: Modell für Self-Sovereign
Identity & dezentralisiertes Vertrauen by
Globales DLT-basiertes Identitätsnetzwerk
Nutzt dezentralisierte Identifikatoren (DIDs)
Schneller und energiesparender Konsens
(RBFT: Redundant Byzantine Fault Tolerance)
Verwaltet durch Non-Profit-Organisation
Diverse „Stewards” verpflichten sich zu einem
Trust Framework und betreiben die Nodes
Cross-funktional mit anderen Identity Chains
Open Source Softwarebasis
Teil von Hyperledger Indy
Quelle: Sovrin™: A Protocol and Token for Self-Sovereign Identity and Decentralized Trust - A White Paper from the Sovrin Foundation - Version 1.0 - January 2018
25Methoden der Konsensfindung: PoX etc.
by
Proof-of-Work Proof-of-Stake
(PoW) (PoS)
Verwandt mit PoW, gewichtete
Kryptographisches Rätsel – Wettlauf um Zufallsauswahl des Validierers,
einen Hashwert mit automatischer ausschlaggebend ist der „Stake“ eines
Anpassung des Schwierigkeitsgrades Nutzers, also der Anteil an der gesamten
Menge an Token, die er besitzt
https://bitcoin.org https://ethereum.org
2.0
Redundant BFT / Proof-of-Authority
Plenum (PoA)
Byzantine Fault Tolerance
(BFT) Familie Alternative zu Proof-of-Stake, die
Redundantes Protokoll für
Vertrauenswürdigkeit einer
Maschinenreplikation mit eingebauter
Person/Organisation statt Teilnehmer mit
Toleranz für willkürlich auftretende Fehler –
hohem Vermögen als Validierer für die
DLT, nicht Blockchain
Blockchain ist ausschlaggebend
DLTs
https://sovrin.org https://azure.microsoft.com
26by
Vorstellung SeLF / Demo
09.10.2020 27SeLF Demo
by
09.10.2020 28by
SSI Use Cases
29Anwendungsbeispiele
by
Credentials führen zu Berechtigungen
(auch physical access)
Credentials als Primary Source für Fakten
Credentials extern nutzen:
Mitarbeiterangebote
Nachweis des Anstellungsverhältnisses
Cross-Organisation Onboarding und
Berechtigungsvergabe
09.10.2020 30SSI Use Case: Meldebescheinigung
by
Use Case: Meldebescheinigung weist einem Bürger die aktuelle Meldeadresse gegenüber einer anderen Behörde/einem Unternehmen nach
Ablauf
Antrag bei ursprünglichem Amt/Unternehmen
Bürger ist im Besitz des Einwohnermeldenachweises in seiner
Bürger verschlüsselten Wallet-App auf dem Mobiltelefon
Weg zur Meldebehörde Bei Bedarf gibt der Bürger den entsprechenden Nachweis an
ein Amt/Unternehmen selbständig in siener Wallet-App frei
Freigabe wird ins Self-Sovereign-Identity-Netzwerk eingetragen,
Antrag bei Meldebehörde auf ihm selbst werden keine Nachweise gespeichert (DSGVO-
Konformität sichergestellt)
Nachweis wird dokumentiert und kann durch kryptografische
Weg zum ursprünglichen Amt/Unternehmen Methoden überprüft werden
Fertigstellung beim ursprünglichen Amt/Unternehmen Vorteile
Vertrauensbeziehung Bürger spart zusätzlichen Behördengang und zweiten Termin
bei ursprünglichem Amt
Ursprüngliches Amt kann den Vorgang bzw. den Antrag des
Einwohner- Ursprüngliches Bürgers innerhalb eines Termins abschließen
Amt/Unternehmen benötigt Meldebescheinigung meldeamt Amt/Unternehmen
prüft, ob Nachweis Einwohnermeldeamt wird nicht direkt in den Vorgang/Antrag
Hoher Verwaltungsaufwand entsteht bei der valide ist involviert
Meldebehörde
Zusätzliche Fahrtwege und Wartezeiten durch
Beantragung/Ausstellung bei Meldebehörde
SIEHE Regio iT, Führerschein prüfen per Blockchain, Link
Allgemeine Unzufriedenheit der Bürger mit „User- AUCH Universität Konstanz, Digitalisierung der einfachen Meldebescheinigung, Link
Journey“
NEXT Förderung der Entwicklung sicherer Self-Sovereign-Identity-Wallets
STEPS Ausstellung digitaler Meldebescheinigungen in einer Pilotphase
Status Quo Self Sovereign Identity-Lösung
31SSI Use Case: Flugreise ins Ausland
by
Use Case: Gesamtheitliche Betrachtung der zu durchlaufenden Prozessschritte bei einer grenzübergreifenden Reise im Flugzeug
Ablauf
Ggf. Visa-Beantragung
Reisender Planbares, präventives Risikoscreening vor Flugantritt
Sicherheitsmaßnahmen abhängig von Risiko,
Buchung „Flaschenhälse“ werden abgebaut
Eliminierung unnötiger Prozessiteration durch Kooperation
Sicherheitskontrolle am Flughafen Reisende bauen „Traveler ID“ auf, geben Dokumente,
Historie, bisherige Reisen etc. nachweisbar von einem
elektronischem, kryptografisch gesichertem Wallet frei
Zutrittskontrolle am Abfluggate DSGVO-Konformität bei Nutzung von Sovrin gewährleistet
Ankunft und Grenzsicherheit Vorteile
Vertrauensbeziehung Reisender wird aktiv in Reiseprozess involviert,
Identitätshoheit, Verringerung von Wartezeiten und
Unsicherheiten durch Kooperation
Arztpraxen, Fluglinien, Einsparungspotentiale durch Effizienzgewinne sowie
Ämter, Flughafen, Zusatzeinnahmen durch erhöhtes Flugvolumen (geschätzt
Ad-hoc Risikobewertung am Abflughafen und bei $10 Milliarden bis 20251)
Einreise Fluglinien, Grenzkontrollen,
etc. etc. Mittelbare Gewinne für die Gesellschaft als Ganzes durch
Diverse „Pain Points“ für Reisende, verbunden mit Entfall von Reibungsverlusten und Vermeidung der Kosten
Wartezeiten/Unsicherheiten erfolgreicher Attacken durch verbesserte Sicherheit (bis
Redundante Abfrage von Informationen (z.B. Visa 2025: geschätzt $20 und $120 Millarden1)
und Buchung), wenig Datenpersistenz
Kosten des Flugsicherheitssystems auf Dauer nicht SIEHE Known Traveller Digital Identity Concept des World Economic Forum, Link
amortisierbar, zusätzlich physikalische Limitation AUCH Mögliche Lösung: Sovrin Distributed Ledger, Link
der Skalierbarkeit
Reisende in rein passiver Rolle Auswahl von Pilotflughären (z.B. innereuropäisch) und Kommunikationsaufnahmen mit Stakeholdern
NEXT
Regulatorische Bedenken (DSGVO, Recht auf STEPS Aufwandsabschätzung bzgl. Implementierung (idealerweise unter Einbezug möglicher Partner, z.B. Sovrin)
Vergessen)
1) World Economic Forum, Known Traveller Digital Identity Concept (2018)
Status Quo Self Sovereign Identity-Lösung
32by
Vereinbarkeit DSGVO
33Anforderungen seitens DSGVO
by
Transparenz, Zweckbindung, Informationen werden nicht als
Datensparsamkeit, Richtigkeit, Integrität und Schutzmaßnahmen je nach Kategorie von
Vertraulichkeit können zu jeder Zeit Klardaten, sondern in Form von personenbezogenen Daten berücksichtigt
gewährleistet werden Hashes gespeichert
✓ ✓ ✓
Verschleierungs-, Verschlüsselungs- und Umsetzung / Einhaltung der Betroffenenrechte,
Datenbereitstellung erfolgt erst nach
Verdichtungsmethoden, um Daten zu insb. Recht auf Löschung und Recht auf
Einwilligung des Identitätshalters
anonymisieren Vergessenwerden
✓ ✓ ✓
34Datenablage bei Blockchains –
Was geht On-Chain, was muss Off-Chain by
Umsetzung / Einhaltung der
On-Chain (oder -DLT)
Betroffenenrechte, insb. ✓ Referenzen auf personenbezogenen Daten
Recht auf Löschung Daten befinden sich an anderem Speicherort, der unabhängig
und vom Chain-/DLT-Speicher löschbar ist
Recht auf Vergessenwerden ✓ Daten einschl. Decentralized Identifier (DIDs) von
Organisationen und Dingen (IoT)
✓
✓ Datenschemata
✓ Verifiable Credential Definitionen
✓ Revocation Registries
Off-Chain (oder -DLT)
Jegliche personenbezogenen Daten
Also auch DIDs von Personen!
35Falls doch personenbezogene Daten
On-Chain gelangt sind: Tombstones by
Umsetzung / Einhaltung der
Tombstone – „Grabstein“
Betroffenenrechte, insb. ✓ Eine mit einer Transaktion verbundene
Recht auf Löschung Markierung, die darauf hinweist, dass die
und
Transaktion nicht mehr als Antwort auf Anfragen
Recht auf Vergessenwerden
nach Lesezugriff zurückgegeben werden darf
✓ ✓ Anwendung bei DLTs
„Node-specific“ oder „Ledger-wide“
✓ Technische Möglichkeit, DSGVO-
Anforderungen zu erfüllen
✓ Regulatorische Akzeptanz zu bestätigen
36Fragen & Antworten
by
37Ansprechpartner
by
CIO esatus AG
Dr. André Kudra
Tel.: +49 6103 90295-0
a.kudra@esatus.com
esatus AG | www.esatus.com
38Copyright
by
Copyright © 2020 esatus AG. Alle Rechte vorbehalten
Alle Inhalte, Fotos und Grafiken sind urheberrechtlich geschützt. Sämtliche
Teile dieses Dokuments dürfen nicht ohne vorherige schriftliche Genehmigung
durch die esatus AG weder ganz noch auszugsweise kopiert, vervielfältigt,
verändert oder übertragen werden.
Herausgeber: esatus AG
Copyright Fotos: Tomasz Zajda/Fotolia; bismillah_bd/Fotolia;
tostphoto/Fotolia; envfx/Fotolia
39Sie können auch lesen
