3.1 Dezentralisierung der Dienste
Die Dezentralisierung der Dienste stellt auf den ersten Blick die geringste Herausforderung dar, da auch bereits etablierte Systeme wie Aadhaar das Ziel haben, die Authentisierung für externe Dienste zu übernehmen. Die Idee von räumlich unabhängigen Diensten ist an dieser Stelle also kein Novum. Schwieriger wird es schon bei der organisatorischen Unabhängigkeit. Diese beginnt bei Aadhaar an der Schnittstelle zwischen Verifier und Referenzmonitor (vgl. auch Schlager et al.
2006): Aadhaar stellt die Authentisierung und der Dienst prüft lediglich die Autorisierung bei uneingeschränktem Vertrauen in die zentrale Datenbank. Das zentrale System schränkt die organisatorische Unabhängigkeit der Dienste sogar noch weiter ein, indem Dienste eine offizielle Erlaubnis brauchen, bevor sie das digitale Identitätssystem nutzen können. Aadhaar ist hier jedoch kein Einzelfall; auch Berechtigungszertifikate für den Zugriff auf den nPA in Deutschland folgen einem ähnlichen Prinzip, wenngleich hierbei der Dienst den Verifier mit einschließt. Die Erlaubnis von offizieller Stelle hat den großen Vorteil, dass Benutzer*innen mehr Vertrauen zu den Anbietern von Diensten haben können, widerspricht aber gleichzeitig dem Ziel der organisatorischen Unabhängigkeit. Ein offenes System hat jedoch den Nachteil, dass Nutzer*innen davon ausgehen müssen, dass manche Dienste versuchen werden, das System zu missbrauchen, um Daten von Individuen zu stehlen.
Damit wird die Frage, welche Attribute man welchen Diensten zugänglich machen sollte, besonders relevant. Nach Zwingelberg und Hansen (
2011) lassen sich drei Arten von Transaktionen unterscheiden, die unterschiedliche Attribute mit einem Dienst teilen:
-
Identifikation, also die Weitergabe von Attributen, die eine eindeutige, globale Unterscheidung der digitalen Identität ermöglichen;
-
pseudonyme Authentifizierung, also die Weitergabe von Attributen, die lediglich in einem abgrenzbaren Bereich, z. B. bei einem einzelnen Diensteanbieter, eine eindeutige Zuordnung der digitalen Identität zu vorhergehenden und nachfolgenden Transaktionen ermöglichen (vgl. Ableitung dienstespezifischer Pseudonyme nach Jøsang und Pope (
2005), Attribute Management Principles nach Chivers (
2005), Authentifizierung mit FIDO UAF/U2F
3); und
-
anonyme Authentifizierung, also die Weitergabe von Attributen, die lediglich eine Mitgliedschaft in einer Gruppe, z. B. den Besitz eines gültigen Tickets, bestätigen.
In vielen Fällen kann eine anonyme Authentifizierung völlig ausreichend sein. So z. B. bei der Verifikation der Bordkarte im Duty-Free-Shop: Dort ist nur der Besitz einer Bordkarte für einen Auslandsflug relevant. Es muss nicht zwischen mehreren Nutzungen derselben Bordkarte unterschieden werden. Auch der Name auf der Bordkarte oder das konkrete Flugziel sind belanglos für den Shop (wenngleich dies mitunter dem Interesse des Diensteanbieters zur Analyse von Kundenbeziehungen – über das erforderliche Mindestmaß hinaus – entgegenstehen könnte).
Viele andere Szenarien wie zum Beispiel die Gepäckaufgabe oder der Nachweis eines gültigen digitalen Reisepasses können durch eine pseudonyme Authentifizierung erfolgen. Dabei werden sowohl dem Passagier als auch dem digitalen Reisepass ein zufälliger Code zugewiesen, den nur der Herausgeber des Attributs auflösen kann. So kann die Fluglinie das Gepäck den einzelnen Passagieren zuordnen, ohne bei der Gepäckaufgabe nach einem identifizierenden Merkmal zu fragen. Die Fluglinie kann sogar überprüfen, ob der digitale Reisepass gültig ist, ohne dessen Inhalt zu kennen, indem es einfach bei der Behörde nachfragt. Durch diesen Verzicht auf die Weitergabe von identifizierenden Attributen kann das Risiko durch missbräuchliche Dienste für die meisten Szenarien auf ein akzeptables Maß reduziert werden. In bestimmten Situationen, besonders wenn der Abgleich mit anderen Datenquellen erforderlich ist, ist die Übermittlung von identifizierenden Attribute jedoch unvermeidlich. Bei der Grenzkontrolle könnte beispielsweise ein Abgleich mit, abseits des ID-Ökosystems gepflegten, Sperrlisten auf denen nur Name und Geburtsdatum eingetragen sind, notwendig sein.
Konzepte aus dem Bereich der Attribute-Based-Credentials (ABC) und der Self-Sovereign-Identity (SSI) sorgen dafür, dass immer mehr Szenarien mit pseudonymer und anonymer Identifikation umgesetzt werden können. ABC (Koning et al.
2014) ermöglichen die selektive Weitergabe von Attributen oder auch Aussagen über Attribute (z. B. die Behauptung, eine gewisse Altersschwelle erreicht zu haben, statt das vollständige Geburtsdatum preiszugeben). Verifiable Presentations (Sporny et al.
2022a) und Decentralized Identifiers (Sporny et al.
2022b) aus dem Bereich der SSI ermöglichen das Zusammenstellen von Credentials zu einer Aussage (z. B. einem Credential der Identitätsdatenbank über die Erkennung des Individuums an einem bestimmten Ort und einem Credential über den Besitz einer gültigen Bordkarte).
Diese Methoden sind aktuell dabei, sich in den verschiedensten Identitätsanwendungen zu etablieren. So ist die selektive Weitergabe von Attributen fester Bestandteil verschiedener ISO-Normen zu mobilen digitalen Identitäten (ISO/IEC 18013‑5:
2021; ISO/IEC FDIS 23220‑1
2022), wird in SSI-Projekten forciert (Sovrin
4, Evernym
5, Jolocom
6, IDunion
7, etc.) und ist auch in verschiedenen nationalen ID-Schemata in der EU (z. B. seit geraumer Zeit im nPA in Deutschland (Poller et al.
2012) und seit kurzem in der ID-Austria (A-SIT Plus GmbH
2021a)) umgesetzt. Wir gehen daher davon aus, dass ein dezentrales System zur digitalen Authentifizierung in der physischen Welt nur in Ausnahmefällen identifizierende Attribute weitergeben würde, weil die meisten Anwendungsszenarien durch die Zusammenstellung mehrerer ABCs abgebildet werden können.
3.2 Dezentralisierung der Sensoren
Analog zu Diensten sind auch Sensoren in zentralisierten Systemen bereits verteilt, weswegen nur die organisatorische Dezentralisierung genauer betrachtet werden muss. Da Sensoren biometrische Daten erfassen, ist es aus Sicht der Datensparsamkeit zu bevorzugen, wenn mehrere kleinere Organisationen Sensoren betreiben, weil so die Menge der Daten, die einzelnen Organisationen zur Verfügung stehen, reduziert wird. Wenn allerdings jeder seine eigenen Sensoren betreiben darf, stellt sich erneut die Frage des Vertrauens in die Betreiber von Sensoren. Identity Agents müssen Sensoren vertrauen können, da sie ihre Entscheidung, Attribute an Dienste zu übermitteln, auf die Messergebnisse von Sensoren stützen. Dienste sind ebenfalls auf die Sensoren angewiesen, um digitale Attribute einzelnen Individuen zuzuordnen.
Bevor dieses Problem weiter analysiert werden kann, muss eine weitere Frage gestellt werden: Wo erfolgt der Abgleich der vom Sensor gemessenen Daten mit den gespeicherten biometrischen Templates der Individuen? Wenn dieser am Sensor erfolgen soll, dann benötigt jeder Sensor Zugriff auf die biometrischen Templates von potentiellen Nutzern, wodurch noch mehr Vertrauen in Sensoren erforderlich wird. Alternativ könnten die gemessenen Daten auch direkt an den Identity Agent übermittelt werden, welcher daraufhin den Abgleich der biometrischen Informationen vornimmt. Dieser Ansatz ist für Systeme mit einem zentralen Identity Agent (wie Aadhaar) gut geeignet, führt jedoch zu Problemen bei vielen verteilten Identity Agents. Die verteilten Identity Agents würden in diesem Fall alle Zugriff auf die Sensordaten (und damit die biometrischen Templates aller Individuen; selbst jener, die nicht am ID-System teilnehmen) bekommen. Effektiv müsste daher jedes Individuum allen Identity Agents vertrauen können, was in der Praxis kaum umsetzbar sein dürfte.
Aus dieser Überlegung heraus erscheint der Abgleich von biometrischen Templates auf den Sensoren als sinnvollster Ansatz. Dies würde gleichzeitig auch die Privatsphäre unbeteiligter Individuen stärken, indem Sensoren biometrische Daten von nicht erkannten Individuen unmittelbar verwerfen können und diese damit keiner weiteren Verarbeitung oder Übermittlung unterliegen. Allerdings wäre eine Übertragung aller vorhandenen Templates in einem globalen System sowohl in Hinblick auf die Privatsphäre, als auch in Hinblick auf die Performance (bzw. die Leistungsanforderungen an den Sensor) unverhältnismäßig. Praktikabel wird dieses Szenario erst, wenn der Sensor nur einen Teil der biometrischen Templates bekommt; nämlich jene, die für eine Interaktion auch in Frage kommen.
Sensoren müssen also genug Vertrauen bei Identity Agents aufbauen, damit diese ihnen deren biometrische Templates für Vergleiche zur Verfügung stellen, und gleichzeitig das uneingeschränkte Vertrauen der Dienste besitzen, die sich auf ihre Aussagen verlassen. Es kann daher davon ausgegangen werden, dass viele Dienste ihre eigenen Sensoren betreiben möchten, um das Vertrauensproblem zwischen Verifier und Sensor zu eliminieren. Der Fingerabdrucksensor im Duty-Free-Shop des Flughafens ist ein gutes Beispiel für einen derartigen Sensor, der entweder direkt durch den Shop, oder einen Zahlungsdienstleister dem der Shop vertraut, betrieben wird. Schwieriger wird es, wenn es um das Vertrauen zwischen dem Identity Agent und dem Sensor geht. Im Fall der Bezahlung in einem Shop soll Annas digitaler Zwilling nur dann die Rechnung bezahlen, wenn Anna das auch möchte. Die Bestätigung, dass Anna das möchte, kommt jedoch von einem Sensor, der von eben dem Shop betrieben wird, der durch die Zahlung profitieren würde.
Es gibt in der Praxis auch bereits Ansätze, welche diese Möglichkeit nutzen, um Benutzer*innen zu identifizieren. Ein Beispiel dafür sind die DTC-VC der ICAO (Rajeshkumar
2021), welche ein Reisedokument-Credential mit identifizierenden Attributen und biometrischen Merkmalen enthalten und dieses, als Gesamtpaket, der Einheit aus Sensor und Verifier (bzw. eigentlich einem Diensteanbieter, der sogar mehrere dieser Einheiten mit dem Credential versorgen kann) übergeben. Als Schutzmaßnahme, zur Abfederung der negativen Konsequenzen auf die Privatsphäre des betroffenen Individuums, ist die explizite, bewusste Weitergabe des Credentials durch dessen Inhaber*in vorgesehen (vgl. dazu auch Ahn und Lam
2005). So kann das ausgestellte Credential z. B. bei der Voranmeldung einer Auslandsreise an das Zielland übermittelt werden, um eine automatisierte Authentifizierung der Person beim späteren Grenzübertritt zu ermöglichen (Rajeshkumar
2021).
Eine Möglichkeit, um dieses Problem zu lösen, wären biometrische Zero-Knowledge-Proof (ZKP) Verfahren (vgl. Tran et al.
2022; Sakashita et al.
2009), die es dem Sensor ermöglichen würden, zu beweisen, dass er gerade die Biometrie einer bestimmten Person gemessen hat, ohne die Messdaten an den Identity Agent weiterzugeben. Allerdings sind diese ZKP-Verfahren nur für den
\(1:1\)-Vergleich, also die biometrische Authentifizierung einer Person und nicht für den
\(1:N\)-Abgleich, also die biometrische Identifizierung geeignet.
Weitere Ansätze sind Cancelable Biometrics (Manisha und Kumar
2020) und Verfahren auf Basis von homomorpher Kryptographie (Yang et al.
2020), die zwar für die biometrische Identifikation geeignet wären, aber aktuell noch zu langsam und ineffizient sind um die Echtzeitanforderungen vieler typischer Dienste (Zutrittskontrolle, Bezahlsysteme, etc.) zu erfüllen.
Zusammenfassend kann gesagt werden, dass die Dezentralisierung von Sensoren relativ einfach umsetzbar ist. Erst in Kombination mit der Dezentralisierung der Identity Agents treten bisher ungelöste Probleme auf, weil es noch keine guten Technologien gibt, mit denen zwei Geräte sich gegenseitig beweisen können, dass sie über ein ausreichend ähnliches (aber nicht notwendigerweise bitgleiches) biometrisches Template verfügen, ohne die biometrischen Daten selbst zu enthüllen.
Ein Ansatz um dennoch Vertrauen in Sensoren aufzubauen, egal, wer die organisatorische Kontrolle darüber hat, könnte die unabhängige Verifizierbarkeit des Sensors, durch Attestierung eines nachweisbaren Hardware- und Softwarezustandes, der auch von unabhängigen Parteien prüfbar ist, bieten. Ein Hardware-Root-of-Trust könnte die Vertrauensbasis dazu liefern und die negativen Konsequenzen der organisatorischen Zugehörigkeit eines Sensors zum Dienst durch einen zusätzlichen Vertrauensanker abfedern. Damit hat der Identity Agent eine Möglichkeit zu prüfen, ob ein Sensor ausreichend sorgsam mit biometrischen Templates umgeht und diese nicht anderweitig nutzt oder selbst Verhaltensprofile von Individuen auf Basis der Vorregistrierung von Templates (durch einen Identity Agent der eine potentielle Sensorinteraktion vorhersieht) erstellt.
3.3 Dezentralisierung der Herausgeber
Der Schritt hin zu Attribute-Based-Access-Control (ABAC, vgl. Hu et al.
2014), also der Autorisierung basierend auf Eigenschaften einer Identität (z. B. Nachweis über Besitz einer gültigen Bordkarte), statt der Identität selbst (eindeutige Identifikation), zur Stärkung der Privatsphäre bei der organisatorischen Dezentralisierung von Diensten, eröffnet auch umfangreichere Möglichkeiten für die Dezentralisierung von Attribut-Herausgebern.
Dies findet sich bereits in verschiedenen bestehenden eID-Wallet-Konzepten wieder. Die europäische digitale Identität (Europäische Kommission
2021) soll Attribute aus öffentlichen und privaten Quellen in einer digitalen Brieftasche ermöglichen. SSI-Projekte (z. B. Sovrin, Windley
2021) etablieren Verifiable Credentials, Verifiable Presentations und Decentralized Identifiers als mögliche Datenformate für solche (verknüpften) Attribute und den Austausch einer selektiven Zusammenfassung von authentifizierbaren Attributen (vgl. Sporny et al.
2022a, b). Identity Agents können damit dienstspezifische, attributbasierte digitale Identitäten aus der Fülle der Attribute in der ID-Wallet zusammenstellen, und diese anonymen Attributkombinationen für die Authentifizierung und Autorisierung bei Diensten verwenden.
Die organisatorische Dezentralisierung von Herausgebern wird bei diesen Konzepten durch die Sammlung von Attributen in einer ID-Wallet ermöglicht. Durch die Konzentration in der Wallet wird die Komplexität der Interaktionen zwischen Herausgebern und Diensten in einen zentralen Punkt pro Interaktion (bzw. digitaler Identität oder sogar pro Individuum) gebündelt und damit reduziert. Gleichzeitig stärkt die organisatorische und räumliche Loslösung des Herausgebers vom Datenspeicher der Identitätsattribute für eine Stärkung der Privatsphäre, weil der Herausgeber nicht mehr in jede einzelne Transaktion involviert ist (vgl. Khatchatourov et al.
2015).
3.4 Dezentralisierung der Identity Agents
Als nächsten Schritt auf dem Weg zu einem dezentralen, offenen, globalen ID-Ökosystem betrachten wir die Dezentralisierung der digitalen Identität selbst bzw. des Identity Agent, der diese verwaltet. In klassischen zentralisierten Systemen wie Aadhaar werden diese zentral von einer Organisation gespeichert und verwaltet.
Im Gegenzug dazu müsste ein dezentraler Ansatz die organisatorische Verantwortung für den Identity Agent, im Sinne eines nutzerzentrierten Ansatzes, zu ihren Besitzer*innen verschieben. Damit einher ginge auch eine räumliche Dezentralisierung, da Nutzer*innen ihre digitalen Identitäten wohl kaum alle am gleichen Ort und mit der gleichen Infrastruktur betreiben würden. In diesem Sinne sollte es Individuen erlaubt sein, ihren digitalen Zwilling entweder selbst zu hosten, auf dem eigenen Smartphone laufen zu lassen (vgl. Konzept des Personal Authentication Device, Jøsang und Pope
2005), oder einen professionellen Anbieter mit dem Betrieb zu beauftragen.
Ideal wäre eine Verteilung der Identity Agents auf viele unterschiedliche Betreiber. Dies bringt den Vorteil, dass ein Datendiebstahl oder ein Ausfall eines Betreibers immer nur einen (kleineren) Teil der Nutzer*innen trifft. Es würde auch die Überwachungsmöglichkeiten jedes einzelnen Betreibers einschränken, da diese nur mehr die Interaktionen ihrer eigenen Nutzer*innen sehen.
Allerdings müssen sich nun viele Komponenten (N Sensoren und M Identity Agents bzw. M Identity Agents und L Verifier) gegenseitig finden und miteinander kommunizieren. Dadurch entstehen wiederum Seitenkanäle auf der Netzwerkebene, die von einem entsprechend ausgestatteten Angreifer ausgenutzt werden könnten:
-
Durch die Interaktion von Sensoren mit bestimmten Identity Agents bzw. Identity Agents mit bestimmten Sensoren würde sich anhand der Beobachtung der Metadaten auf Netzwerkebene (Verbindungsaufbau von Agent X zu Sensor Y oder umgekehrt) ableiten lassen, bei welchen Sensoren, und damit an welcher geographischen Position, der digitale Zwilling sein modelliertes Individuum vermutet.
-
Durch die, bei der Interaktion von Identity Agents mit bestimmten Verifiern anfallenden Metadaten würde sich analog dazu ableiten lassen, mit welchen Verifiern (und damit mit welchen Diensten) ein Individuum zu einem bestimmten Zeitpunkt interagiert.
Nach Hansen (
2013) ist aber gerade in einem nutzerzentrischen ID-System Privatsphäre (im Sinne von Unlinkability) auch auf allen Netzwerkebenen entscheidend. Konzepte zum Einsatz von Netzwerkanonymisierungstechnologien wie Tor für die Interaktion in digitalen ID-Systemen (Höller et al.
2022) könnten hier Abhilfe schaffen.
Die Verteilung der Identity Agents in unterschiedlicher Infrastruktur wirft auch die Frage nach Mindestanforderungen in Hinblick auf Zuverlässigkeit und Reaktionszeit auf. Die Ausfallsicherheit und die Netzwerkanbindung eines Datencenters und eines einzelnen Smartphones sind nicht vergleichbar. Netzwerkanonymisierungstechnologien könnten hier einen zusätzlichen (zeitweisen) Engpass verursachen (vgl. aktuelle Überlastung des Tor-Netzwerks durch Denial-of-Service-Angriffe (Koppen
2022) oder Tor-Sperren in China (Tor Project
2022)).
Ähnlich dazu kann ein Identity Agent auf einem Smartphone nicht mit den Möglichkeiten eines hochperformanten Computerclusters mithalten. Dies geht einher mit der Frage, ob ein persönlicher Identity Agent sein Individuum ausreichend genau modellieren kann. Einerseits kann diese Genauigkeit durch die verfügbare Rechenleistung stark eingeschränkt sein (insb. wenn man dem Individuum bei der Wahl des Hostings viele Freiheiten lassen möchte). Andererseits stellt sich generell die Frage, ob ein einzelner Identity Agent überhaupt hinreichend genaue Vorhersagen treffen kann. Bestehende Ansätze legen hier eine bessere Modellierbarkeit vom Verhalten ganzer Gruppen (z. B. Vorhersage von Besucherströmen) oder von Rückschlüssen auf einzelne Individuen durch gemeinsame Modellierung des Verhaltens vieler Individuen nahe. Diese Fragen sind derzeit noch ungelöst und würden von einer Umsetzung erster Konzeptstudien profitieren.
Neben möglichen Seitenkanälen, Zuverlässigkeit und Reaktionszeit bei der Kommunikation stellt auch das gegenseitige Auffinden der Komponenten selbst ein komplexes Problem dar. In der bisherigen Betrachtung brachte die zentrale Identitätsdatenbank den Vorteil einer zentralen Anlaufstelle zwischen den N Sensoren, der globalen digitalen Identität und den L Verifiern. Die explizite Interaktion mit einem Sensor, der räumlich eindeutig einem Dienst zugeordnet ist, ergibt zudem eine \(1:1\)-Beziehung aus Interaktion und Dienst.
Für Sensoren wäre es enorm schwierig, auf Basis von biometrischen Messwerten einen bestimmten Identity Agent zu finden, ohne dass biometrische Referenzdaten in einer öffentlichen Datenbank hinterlegt sind. Wenn Dienste organisatorisch von der Sensorik losgelöst sind, dann hat auch der Verifier keinerlei Anhaltspunkte dafür, dass ein Individuum mit einem Dienst interagieren möchte. Der Identity Agent kann hingegen aus dem Verhaltensmodell den Bewegungsradius des Individuums und damit für eine Interaktion in Frage kommenden Sensoren und Verifier gut einschränken, sofern ein (globaler) Überblick über mögliche Sensoren und Verifier vorhanden ist.
Um den Vorteil einer räumlich zentralen Anlaufstelle bei gleichzeitiger organisatorischer Dezentralisierung von Sensoren, Identity Agents und Diensten zu erzielen, könnten öffentliche Verzeichnisdienste zum Einsatz kommen. Nachdem Sensoren selbst, als öffentliches Objekt, keinen Privatsphäreschutz benötigen, könnten diese durch eine Datenbank, welche Sensoren einer geographischen Lage zuordnen, für alle Identity Agents auffindbar gemacht werden. Identity Agents können sich dann bei Sensoren vorregistrieren und, bei Übereinstimmung der Biometrie, über das Ereignis per Call-Back-Aufruf informiert werden. Ähnlich verhält es sich bei den Verifiern: Identity Agents können anhand der Sensorereignisse und des modellierten Verhaltens (eindeutig) bestimmen, mit welchem Verifier interagiert werden soll. Dabei kann auf Attribute als Informationen über bestehende (Geschäfts‑)beziehungen des Individuums zu bestimmten Diensten, aber auch auf die Verknüpfung bestimmter Sensoren mit Diensten zurückgegriffen werden. Auch hierfür würde sich eine Datenbank, mit Informationen über das Vertrauen von Diensten in bestimmte Sensoren sowie mit Informationen über den (bzw. die) Verifier eines Dienstes, eignen.
Methoden zur Implementierung solcher Verzeichnisse könnten öffentliche Ledger (mit gleichzeitiger organisatorischer und räumlicher Dezentralisierung) oder klassische Verzeichnisdienste sein. Um die organisatorische Freiheit von Diensten und Sensoren nicht einzuschränken müssten diese Verzeichnisdienste jedoch für alle frei zugänglich gestaltet sein (d. h. auch ohne Einschränkungen bei der Eintragung neuer Sensoren und Dienste).
3.5 Dezentralisierung der ID-Wallet
Durch die enge Bindung von Identity Agent und ID-Wallet, als zugehöriger Datenspeicher, wird davon ausgegangen, dass eine organisatorische oder räumliche Trennung dieser beiden Rollen im Allgemeinen nicht zweckmäßig ist. Es gibt jedoch auch Ausnahmen:
-
Biometrische Sensoren können fest an ein einzelnes Individuum geknüpft sein (z. B. in einem mitgeführten Smartphone). Wenn der Sensor ausschließlich für den Identity Agent vertrauenswürdig sein muss, dann macht es Sinn, die biometrischen Referenzdaten ausschließlich in diesem Sensor abzulegen, um Missbrauchspotential zu minimieren. Dies ist der Fall, wenn vom Sensor nur Verhalten abgeleitet wird (und das Individuum ein Interesse am akkuraten Verhalten des Sensors hat) oder wenn für den Verifier die Bindung zwischen biometrischem Merkmal und der Identität nicht relevant ist, weil die Verantwortung an das Individuum abgegeben werden kann (z. B. Freigabe einer Transaktion durch Fingerabdruck am eigenen Smartphone).
-
Attribute, die ausschließlich für einen einzelnen Dienst oder sogar einen Aktor relevant sind (z. B. Zutrittsberechtigungen in einer Firma), können, statt in einer nutzerzentrischen ID-Wallet, auch beim Dienst selbst verwaltet werden, und nur über pseudonyme Authentifizierung an eine digitale Identität gebunden werden. Sie sind damit organisatorisch und räumlich von der restlichen ID-Wallet entkoppelt und obliegen der Verantwortung des Dienstes. Die Inhalte solcher Attribute können damit aber auch nicht für die Modellierung im Identity Agent herangezogen werden.
Abgesehen davon bringt, wie bereits für den Identity Agent selbst, die organisatorische und räumliche Dezentralisierung der ID-Wallet zusammen mit dem Identity Agent auf den ersten Blick gleich mehrere Vorteile für das Individuum: Die Verteilung der (biometrischen) Daten der Nutzer*innen auf viele verschiedene Orte und Betreiber eliminiert einen zentralen Single-Point-of-Failure. Ein Ausfall oder ein Datendiebstahl bei einem einzelnen Betreiber trifft damit nur mehr einen vergleichsweise kleinen Teil der Nutzer*innen. Nachdem keine zentrale Stelle alle biometrischen Daten besitzt und diese auch nicht bei der Verifikation durch Dienste zum Einsatz kommen, wird die Möglichkeit einer (flächendeckenden) biometrischen Überwachung oder Beschränkung durch Einzelne (z. B. einen Staat) minimiert.
Bei genauer Betrachtung entstehen dadurch aber auch neue Probleme: Gezielte Angriffe auf ein Individuum sind durch Angriffe auf einen einzelnen Identity Agent weiter möglich. Das Schadensausmaß bei einem Datendiebstahl ändert sich für das einzelne betroffene Individuum nicht. Die Verteilung auf mehrere Betreiber (und ggf. das Individuum selbst) reduziert sogar die (insb. finanziellen) Möglichkeiten einzelner zur Absicherung ihrer Systeme, und könnte damit individuelle Angriffe noch attraktiver gestalten.
Zudem stellt ein attributzentriertes ID-System, bei dem Attribute aus einer dezentralen ID-Wallet zu beliebigen Zusammenstellungen (vgl. Verifiable Presentations) kombiniert werden sollen, hohe Ansprüche an die Sicherheit kryptographischer Komponenten. Selbst der uneingeschränkte Zugriff der Nutzer*in selbst auf eigene geheime kryptographische Schlüssel kann problematisch sein. Zwei kollaborierende Nutzer*innen dürfen z. B. aus der Kombination ihrer Attribute keinen Vorteil erlangen können. Lösungen könnten in der Auslagerung kritischer kryptographischer Komponenten in zertifizierte Hardware-Security-Module (HSMs) bzw. Smartcards/Secure Elements liegen. Dadurch können sicherheitskritische Teile der ID-Wallet räumlich zur Nutzer*in und gleichzeitig organisatorisch zu einem vertrauenswürdigen Dritten verlagert werden (ähnlich wie der Hardware-Root-of-Trust-Ansatz für Sensoren). Aktuell hinken Smartcard-Chips jedoch bei der Umsetzung moderner, privatsphäreschonender kryptographischer Verfahren (z. B. ZKP-Verfahren) hinterher.
Während SSI-Projekte die gesamte Wallet-Komponente organisatorisch und räumlich verteilen möchten und näher in Richtung der Nutzer*in bringen, finden sich in bestehenden nationalen eID-Wallet-Konzepten andere Strategien. Bei der ID-Austria (A-SIT Plus GmbH
2021b) wird lediglich die Berechtigungsverwaltung für den Zugriff auf Attribute den Nutzer*innen anvertraut. Der Datenspeicher selbst liegt aber organisatorisch und räumlich bei einem staatlichen Anbieter. Auch der Vorschlag der EU-Kommission für eine europäische digitale Identität (Europäische Kommission
2021) spricht nur von einer nutzerzentrischen Verwaltung der Identität durch appgestützte Wallets, nicht aber von Dezentralisierung der eigentlichen Datenhaltung. Das SDI-Schaufensterprojekt ONCE
8 verfolgt hingegen eine Mischform aus Verwaltung des Zugriffs auf hoheitliche ID-Schemata und vollständig dezentralen SSI-Credentials (ONCE
2022).
Abschließend bleibt die Frage, wie der Identity Agent entscheidet, welche Attribute aus der Wallet an einen Verifier weitergegeben werden dürfen. Bei organisatorischer Zentralisierung (insb. der Identity Agents) könnte diese Entscheidung vollständig durch den Betreiber des ID-Systems abgenommen werden (vgl. Registrierungserfordernis für Verifier). In einem nutzerzentrischen System, sollte dies vom Individuum entschieden (oder zumindest mitbestimmt) werden können, um organisatorische Freiheit der Dienste und der Identity Agents zu erzielen. Wenn jeder Identity Agent unabhängig ist und das System völlig offen für jeden Verifier sein soll, dann wird es für einzelne Nutzer*innen unverhältnismäßig und unüberschaubar, den Überblick über Sinn und Zweck angeforderter Attribute zu behalten. Hansen (
2013) schlägt daher die Ausstellung von Zertifikaten über Attributprofile durch vertrauenswürdige Stellen vor. Eine Möglichkeit dies in einem offenen System umzusetzen, könnte wiederum in den Verzeichnisdiensten für Sensoren und Verifier liegen. Dort könnten Dienste Attributprofile veröffentlichen und von unabhängigen Drittstellen begutachten lassen. Solche Drittstellen könnten beispielsweise Bürgerrechtsorganisationen sein, die das Verzeichnis um Zertifikate über die geprüften Profile ergänzen.