Vorstellung der Lissi Initiative: Let’s initiate self-sovereign identity
Dieser Artikel erklärt die Absichten der Forschungsinitiative “Lissi” und erläutert die technische Implementierung. Dieser Artikel is auch auf Englisch verfügbar.
Lissi ist eine branchenübergreifende Forschungsinitiative für eine neue Art der Identifizierung, Authentisierung und Autorisierung von natürlichen und juristischen Personen und Dingen. Ziel ist es, ein Ökosystem für selbstbestimmte Identitäten in Deutschland und der EU zu schaffen.
Beim Konzept der selbstbestimmten Identität steht die Verwaltung von personenbezogenen Daten im Fokus. Statt einer zentralen Organisation oder Institution ist hier der Nutzer Dreh- und Angelpunkt bei der Verwaltung seiner Daten. Der Begriff “selbstbestimmt” bezieht sich in diesem Zusammenhang auf die Möglichkeit einer Person zu entscheiden, welche Endanwendung (Wallet) für die Verwaltung genutzt werden soll, wo die ausgestellten Identitätsinformationen gespeichert werden (lokal oder in der Cloud) und an wen Informationen übermittelt werden sollen. Des Weiteren erhält der Nutzer weitreichende Möglichkeiten die übermittelten Informationen auf ein Minimum zu beschränken und z.B. nur bestimmte Inhalte einer Bescheinigung zu teilen anstatt die kompletten Inhalte eines Dokuments offenzulegen. Zusätzlich erhält eine Person mehr Kontrolle über die vereinbarte Nutzung seiner Daten wie auch die Ausübung von Datenschutzrechten, welche in der DSGVO (Datenschutz-Grundverordnung) festgelegt sind.
Das Konsortium wird im Rahmen des Innovationswettbewerbs “Schaufenster digitale Identitäten” vom Bundeswirtschaftsministerium (BMWi) gefördert. Das Projekt „Self-Sovereign Identity für Deutschland (SSI4DE)“ beinhaltet ein Blockchain-befähigtes, selbstbestimmtes Identitätssystem. Hierfür wird ein Identitätsnetzwerk an verschiedenen deutschen Standorten aufgebaut, um die genauere Implementierung zu testen. Letztendlich soll sich daraus ein dezentrales Identitäts-Ökosystem für sichere digitale Identitäten entwickeln, welches interoperabel mit anderen europäischen und internationalen Netzwerken sein soll. Mit dem geplanten Projekt sollen deutsche Lösungen für die Wirtschaft, Verwaltung und die Bürgerinnen und Bürger zugänglich gemacht werden, die gleichermaßen nutzerfreundlich, vertrauenswürdig und wirtschaftlich sind.
Dieses Identitätssystem soll es allen Institutionen (“Identitätsaussteller”) erlauben, ihre geprüften Identitätsdaten dem Nutzer auszustellen. Diese können die Bescheinigungen dann auf den Endgeräten (insbesondere Mobiltelefone) ablegen. Nutzer (“Identitätshalter”) haben die Möglichkeit, die Bescheinigungen als Nachweis zu erbringen.
Ein Nutzer kann sich folglich bei anderen Institutionen (“Identitätsverifizierer”) identifizieren und authentifizieren. Identitätshalter können dabei sowohl natürliche wie juristische Personen als auch Dinge (z.B. Fahrzeuge) sein. Die Legitimierung des präsentierten Nachweises kann durch den Vergleich des öffentlich zugänglichen Schlüssels bzw. des dezentralen Identifikators (DID) des Ausstellers mit der digitalen Signatur des Nachweises vorgenommen werden. Die DIDs von Identitätsausstellern sind auf dem Lissi-Netzwerk gespeichert und öffentlich zugänglich.
Das System wird sich dabei nicht nur auf den Austausch von Identitätsdaten beschränken, sondern ermöglicht auch den Austausch jeglicher Identitäts-, Authentisierungs- und Authorisierungsinformationen. Dies kann z.B. die Weitergabe von Meldedaten, Bonitätsinformationen, Zertifikaten, Nutzerausweisen, Eintrittskarten jeglicher Art, aber auch der Zugang zu Webseiten (Single Sign-on bzw. “SSO”) oder Gebäuden sein.
Diese Informationen werden über eine verschlüsselte “peer-to-peer”-Verbindung übermittelt, welche zwischen dem Halter und dem Aussteller bzw. Verifizierer hergestellt wird. Dies bedeutet, dass die Kommunikation direkt zwischen zwei Parteien stattfindet, ohne einen Mittelsmann zu benötigen. Für jede neue Verbindung wird eine andere DID genutzt, um eine Korrelation von Identitätsdaten und die Erstellung von unerwünschten Nutzerprofilen zu vermeiden. Da ein Zusammenhang zwischen verschiedenen Verbindungen nur schwer auf ein Individuum zurückzuführen ist, schafft dieser Ansatz ein erhöhtes Maß an Privatsphäre für den Nutzer.
Das Netzwerk soll Schnittstellen zu bestehenden Standards wie OpenID Connect anbieten, um eine schnelle Akzeptanz und Verbreitung auch im Bereich SSO zu ermöglichen. Des Weiteren soll eine Anbindung von hoheitlichen ID-Dokumenten ermöglicht werden, insbesondere die Nutzung der eID-Funktion des Personalausweises. Technologisch wird auf das Open-Source-Framework Hyperledger Indy aufgebaut, um das zugrundeliegende DID-Netzwerk zu betreiben. Für die verschlüsselte Kommunikation zwischen zwei Endpunkten wird das DIDComm-Protokoll verwendet, welches von der Decentralized Identifier Foundation (DIF) verwaltet wird. Die Endpunkte selber stellen sog. Agenten dar, welche im Rahmen des Hyperleger Aries-Frameworks standardisiert sind. Hyperledger ist eine Software-Bibliothek, welche von der Linux-Stiftung verwaltet wird.
Das zu errichtende verteilte Netzwerk wird dabei mit beschränkten Schreibrechten und öffentlichen Leserechten eingerichtet. Es werden lediglich die öffentlichen Schlüssel (DIDs) von Identitätsausstellern auf der Blockchain gespeichert, um eine Verifizierung der von diesen Parteien ausgestellten Informationen zu gewährleisten. Diese Architektur ist mit bestehenden Vorgaben der DSGVO zu vereinbaren.
Die Partner der Initiative freuen sich auf den Start der Wettbewerbsphase des BMWi-Projektes, welches im Juni 2020 startet. Die Initiative ist offen für neue Partner unter der Voraussetzung, dass diese Anwendungsfälle basierend auf den verwendeten technischen Standards umsetzen möchten. Mehr Informationen über das Projekt finden Sie auf unserer Website www.lissi.id.
