Diskussion über die Sicherheit von Wallets für digitale Identitäten

Bild: Diskussion über die Sicherheit von Wallets für digitalen Identitäten

Aktuelle Diskussion und Kontext

Abgrenzung ID-Ökosystem der Bundesregierung und “Schaufenster sichere digitale Identitäten”.

Parallel dazu hat die Bundesregierung im Dezember 2020 ein eigenes ID-Ökosystem rund um die ID-Wallet gestartet. Das BMI beschreibt das Projekt wie folgt: “Bürgerinnen und Bürger können künftig persönliche Daten und digitale Nachweise verschlüsselt in ihren Smartphones speichern und dann selbstbestimmt, sicher und einfach für Online-Dienste von Unternehmen und Behörden verwenden.”

Das Lissi Wallet ist bisher nicht Teil des ID-Ökosystems der Bundesregierung und wird überwiegend im Rahmen des Schaufensterprojekts “IDunion” genutzt und weiterentwickelt. Es ist bisher nicht darauf ausgelegt offizielle Dokumente wie den Personalausweis und Führerschein zu speichern und dies war bisher für Endanwender*innen auch nie möglich. Ziel der Schaufensterprojekte ist es allerdings genau dies in Zukunft zu erreichen und dafür entsprechende Sicherheitsmechanismen zu entwickeln.

Insofern sind wir für jede Kritik an der Lissi Wallet sehr dankbar und nehmen die von Lilith Wittmann und Fabian Lüpke, der unter dem Pseudonym “Flüpke” im Internet Auftritt, geäußerten Bedenken ernst. Gleichwohl ist es sehr wichtig diese immer im Kontext der verschiedenen Anwendungsfälle und deren Vertrauensniveaus zu betrachten!

Probleme und mögliche Lösungswege

1. Verifizierung von anfragenden Parteien

Beschriebenes Problem: Sollte der sichere Kanal kompromittiert werden, kann dies einer Angreifer*in erlauben, eine sogenannte “Man-In-The-Middle-Attacke” durchzuführen. Hierzu tauschen Angreifer*innen Schlüssel und Endpunkte aus und präsentieren Nutzer*innen einen gefälschten QR-Code, welcher das Ergebnis der Abfrage und damit die persönlichen Daten umleiten. Das Problem besteht darin, dass Nutzer*innen grundsätzlich keine Möglichkeit haben, die anfragende Partei innerhalb der Wallet zu authentifizieren und Betrüger*innen sich als beliebige Institution ausgeben könnten um persönliche Informationen anzufragen. Die Verantwortung den initialen Kommunikationskanal zu überprüfen liegt somit auf der Nutzerseite.

Mögliche Lösung: Um die Legitimität einer Anfrage verifizieren zu können, müssen sich anfragende Institutionen zuvor in einem öffentlichen Register z.B. mit öffentlichen dezentralen Identifikatoren (DIDs) registrieren. Die öffentlichen DIDs können durch eine vertrauenswürdige Partei (z.B. einem Vertrauensdiensteanbieter) in einer “Trusted List” zertifiziert werden. Das Wallet von Nutzer*innen kann bei neuen Anfragen die Authentizität über die entsprechende “Trusted List” validieren und Nutzer*innen die verifizierte Identität der anfragenden Partei anzeigen.

Grundsätzlich wäre auch denkbar, dass nur verifizierbare Institutionen hoheitliche Dokumente abfragen dürfen. Ob dies in der Realität sinnvoll wäre ist zu diskutieren. Alternativ müssen Nutzer*innen darüber aufgeklärt werden, dass die anfragende dritte Partei nicht verifiziert werden kann und die Daten nur geteilt werden sollten, wenn Nutzer*innen dem Kontext der Anfrage vertrauen. Mit der zunehmenden Offenheit der Ökosystems ergeben sich somit auch zusätzliche Risiken für Nutzer*innen.

2. Der Missbrauch von verifizierten Daten:

Beschriebenes Problem: Angreifer*innen, welche verifizierte Identitätsdaten abfangen konnten, können diese missbräuchlich verwenden. Dieses Problem unterliegt der Annahme, dass ein Angriff, wie in Punkt 1 beschrieben, möglich und erfolgreich war.

Bestehende Lösung: Jede verifizierbare Präsentation eines verifizierbaren Nachweises ist mit einer Nonce versehen, die sogenannte Replay-Attacken verhindert. Die Angreifer*in ist somit nicht in der Lage mit den gestohlenen Daten weitere Anfragen zu beantworten und neue verifizierbare Präsentationen zu erstellen. Sie kann ausschließlich die gestohlenen Klardaten nutzen. Da schon durch die Preisgabe der Klardaten ein Schaden entstehen kann, ist es trotzdem notwendig den unter Punkt 1 beschriebenen Angriff auszuschließen.

Wie geht es weiter:

Sowohl im ID-Ökosystem der Bundesregierung als auch in allen Schaufensterprojekten kommen sogenannte “selbstbestimmte” Identitätslösungen (kurz SSI) zum Einsatz. Viele andere Staaten weltweit, entwickeln derzeit ähnliche Lösungen. Deutschland geht dabei keinen Alleinweg.

Grundsätzliche Problemstellungen werden z.B. global auf dem halbjährlich stattfindenden Internet Identity Workshop (IIW) diskutiert. Der nächste IIW findet vom 12. — 14. Oktober statt. Wir möchten gern alle Beteiligten aufrufen sich hier zu treffen, um offen und konstruktiv über die Lösungsansätze zu sprechen.

Darüber hinaus werden wir im Rahmen der Schaufensterprojekte gemeinsam mit zahlreichen Institutionen die bestehenden Herausforderungen lösungsorientiert angehen und begrüßen konstruktive Kritik und die Beteiligung der Öffentlichkeit. Nur gemeinsam können wir erfolgreich ein Fundament für unsere digitale Gesellschaft schaffen!

Das Lissi Team freut sich auf eine konstruktive Diskussion.

Let’s initiate self-sovereign identity. Lissi eine Marke der Main Incubator GmbH, Impressum auf https://www.lissi.id/impress

Let’s initiate self-sovereign identity. Lissi eine Marke der Main Incubator GmbH, Impressum auf https://www.lissi.id/impress