IPDB BigchainDB meetup – Privacy on the Blockchain

Veröffentlicht unter Datensouveränität, Digitale Identitäten | Hinterlasse einen Kommentar

Identity Economy: Ein kurzer Wochenrückblick #12

Von Ralf Keuper

Anbei eine Aufstellung von Beiträgen, die mir in dieser Woche besonders ins Auge gefallen sind:

Veröffentlicht unter Wochenrückblick | Hinterlasse einen Kommentar

Empfehlungen für Digitale Identitäten vom Bundesverband Blockchain e.V.

Von Ralf Keuper

Der Bundesverband Blockchain e.V. hat das Positionspapier Blockchain Chancen und Herausforderungen einer neuen digitalen Infrastruktur für Deutschland veröffentlicht. Darin enthalten ist auch ein Kapitel Digitale Identitäten. Der Bundesverband empfiehlt:

  1. Digitale Signaturen, wie sie im Zusammenhang mit gängigen Blockchainprotokollen Verwendung finden, bedürfen der rechtlichen Anerkennung, ebenso wie der hohe Beweiswert von Blockchaineinträgen.
  2. Die Dokumentation des Zugriffs auf personenbezogene Daten gemäß der europäischen Datenschutzgrundverordnung soll auf Basis eines Blockchainregisters erfolgen, anstelle einer herkömmlichen digitalen Speichermöglichkeit.
  3. Der Staat soll eine Vorreiterrolle als Autorisierungsorgan einnehmen, um bürgerzentrierte souveräne digitale Identitäten (Identität gehört der Person, keinem Identitätsanbieter) möglich zu machen.
  4. Die Chancen und Herausforderungen für die öffentliche Hand als Autorisierungsorgan Blockchainbasierter Identitäten soll im Rahmen eines Pilotprojektes evaluiert werden (Bundes ID-Chain). Denkbar ist die schrittweise Verlegung von Behördenprozessen auf eine Blockchain-basierte Infrastruktur. Vorteile sind die Reduktion von Schnittstellen bei höherer Sicherheit und geringeren Verwaltungskosten.

Die Autoren plädieren für souveräne selbstverwaltete Identitäten:

Nachdem sich bisher kein digitaler Identitätsstandard durchsetzen konnte, ermöglicht die Entwicklung einer souveränen und selbstverwalteten digitalen Identität, bei der den Bürgern selbst die Hoheit und die Verwaltung persönlicher Attribute und Daten zusteht, eine sinnvolle Neupositionierung auf diesem Gebiet. Ein technisch ausgereiftes Konzept einer solchen Identität, das den Bürger in den Mittelpunkt stellt, erlaubt neue Perspektiven in der Umsetzung gesetzlicher Regularien wie der europäischen Datenschutz-Grundverordnung oder der eIDAS-Verordnung, und setzt einen Gegenpol zur Parallelwelt digitaler Identitäten, die von sozialen Netzwerken geschaffen wurde (v.a. von Unternehmen wie Google, Amazon, Facebook, Apple). Der Staat kann hier als vertrauenswürdiges Fundament dienen, indem er durch neu einzurichtende Autorisierungsstellen digitale Identitäten validiert.

Da stellt sich die Frage, welche Infrastruktur die souveräne Verwaltung der digitalen Identitäten durch die Nutzer gewährleisten soll – der Staat als vertrauenswürdiges Fundament und neu einzurichtende Autorisierungsstellen sind zu ungenau. Warum neu gründen? Könnten das nicht die Kommunen übernehmen? (Vgl. dazu: Die Schlüsselstellung der Kommunen in der Identity Economy). Könnte das Projekt FutureID nicht in Richtung Blockchain weiterentwickelt werden? (Vgl. dazu: FutureID: Ein dezentrales Identitätsmanagement-Ökosystem für Europa und darüber hinaus). Gleiches gilt für ISÆN (Vgl. dazu: Sicheres Identitätsmanagement im Internet mit ISÆN). Überlegenswert wäre ebenfalls, das Projekt Industrial Data Space mit der Blockchain zu verbinden bzw. die Möglichkeiten auszuloten. Wir müssten also das Rad nicht neu erfinden.

Es wird m.E. darauf ankommen, die bestehenden, ausgereiften Technologien wie die eID und eIDAS und regulatorische Bestimmungen wie die GDPR mit der Blockchain zu verbinden. Geklärt werden sollte m.E. auch, wo die Grenzen für den Einsatz der Blockchain bei den Digitalen Identitäten liegen bzw. welche Anwendungsszenarien in Frage kommen und welche nicht. Die Blockchain als Datenbank umzufunktionieren wäre kontraproduktiv. Der Blick sollte auch auf die umgebenden Systeme gerichtete werden, die off-chain Applikationen (Datenbanken, Datenfeeds, Clearingstellen etc.), ohne dies es nicht gehen wird.

Alles in allem ein wichtiger Beitrag zur Debatte.

Veröffentlicht unter Digitale Identitäten | Verschlagwortet mit | Hinterlasse einen Kommentar

Sicherheitslücke von Estlands ID Cards wirft lange Schatten

Von Ralf Keuper

Bereits vor einigen Wochen wurde bekannt, dass die von der estländischen Regierung ausgegebenen Identity Cards eine gravierende Sicherheitslücke aufweisen (Vgl. dazu: Estland: Die Hälfte der E-IDs hat eine Security-Lücke). Von der Sicherheitslücke betroffen sind alle seit dem 16.10.2014 ausgegebenen ID-Karten – 750.000 Stück.

Bislang ging man davon aus, dass die Lücke nicht dazu genutzt werden kann, den öffentlichen Schlüssel der digitalen Identität auch ohne die Karte und die PIN zu ermitteln Dazu sei eine riesige Rechenkapazität und ein spezielles Programm notwendig, um den dazugehörigen geheimen Schlüssel zu errechnen, so inside-it.ch.

Nun aber berichtet ars technica in Millions of high-security crypto keys crippled by newly discovered flaw, dass die Auswirkungen deutlich weiter reichen als angenommen:

The five-year-old flaw is also troubling because it’s located in code that complies with two internationally recognized security certification standards that are binding on many governments, contractors, and companies around the world. The code library was developed by German chipmaker Infineon and has been generating weak keys since 2012 at the latest. … The library runs on hardware Infineon sells to a wide range of manufacturers using Infineon smartcard chips and TPMs. The manufacturers, in turn, sell the wares to other device makers or end users. The flaw affects only RSA encryption keys, and then only when they were generated on a smartcard or other embedded device that uses the Infineon library.

Obwohl der Aufwand für eine Entschlüsselung nach wie vor immens und kaum praktikabel ist, besteht kein Grund für Entwarnung:

While all keys generated with the library are much weaker than they should be, it’s not currently practical to factorize all of them. For example, 3072-bit and 4096-bit keys aren’t practically factorable. But oddly enough, the theoretically stronger, longer 4096-bit key is much weaker than the 3072-bit key and may fall within the reach of a practical (although costly) factorization if the researchers‘ method improves.

Anlass zur Sorge gibt, dass es sich bereits um den zweiten Fall dieser Art binnen weniger Jahre handelt; und das, obwohl die strengen Testverfahren zuvor durchlaufen wurden:

This is the second time in four years that a major crypto flaw has been found hitting a crypto scheme that has passed rigorous certification tests. In 2013, a different set of researchers unearthed flaws in Taiwan’s secure digital ID system that would allow attackers to impersonate some citizens. Both the flawed Infineon library and the Taiwanese digital ID system passed the FIPS 140-2 Level 2 and the Common Criteria standards. Both certifications are managed by the National Institute of Standards and Technology. Both certifications are often mandatory for certain uses inside government agencies, contractors, and others.

Im November erscheint das Paper The Return of Coppersmith’s Attack: Practical Factorization of Widely Used RSA Moduli, das den aktuellen Fall intensiv behandelt.

Weitere Informationen:

Hunderttausende Infineon-Sicherheits-Chips weisen RSA-Schwachstelle auf

 

Veröffentlicht unter Digitale Identitäten | Verschlagwortet mit , | Hinterlasse einen Kommentar

FutureID: Ein dezentrales Identitätsmanagement-Ökosystem für Europa und darüber hinaus

Von Ralf Keuper

In dem über drei Jahre laufenden, von der EU-geförderten Projekt FutureID ging es darum, eine Infrastruktur zu entwerfen, mit deren Hilfe verschiedene Anbieter von Identitätslösungen kooperieren können, ohne dabei Gefahr zu laufen, ihre Mitbewerber (unfreiwillig) zu stärken. Weiteres Ziel war, die Verbreitung der eID in Europa zu fördern.

In Towards a Decentralized Identity Management Ecosystem for Europe and Beyond heisst es:

The objective of the FutureID project was to build an identity management infrastructure for Europe in support of a single market of online services. This requires the availability and large-scale use of trusted and secure identities that replace current password credentials. .. FutureID therefore attempts to find a solution that renders it easier to reach the required critical mass by providing interoperability between credentials and services.

Das folgende Schaubild zeigt die verschiedenen Teilnehmer, Credentials und Services der FutureID – Infrastruktur.

FutureID Infrastruktur

Die FutureID ist kompatibel mit eIDs sowie dem Neuen Personalausweis (nPA).

FutureID has further developed a universal open source eID client that can be used as a multi-card eID middleware that offers complex authentication functions as required by the German nPA and for signatures. Already, a wide variety of eIDs and other smart cards are supported. Additional smart cards are easy to support through simply providing declarative and standards-compliant CardInfo files.

Das Projekt soll weitergeführt werden und seine Ergebnisse in weitere, wie dem Industrial Data Space, einfließen. In ihrer Schlussfolgerung heben die Autoren noch einmal die Vorzüge von FutureID hervor:

What is unique about FutureID, however, is that the number and topology of intermediary components is not fixed and static. FutureID rather adopts an ecosystemapproach by creating a free market for intermediating services. This provides for the flexibility to: scale according to need, adapt to market needs, support special needs of market sectors including niche markets, adapt to established contractual relationships, and easily adapt to various possible business models that render the infrastructure sustainable.

Weitere Informationen:

The eID-Terminology Work of FutureID

Survey and Analysis of Existing eID and Credential Systems

Veröffentlicht unter Digitale Identitäten, Identity Economy | Verschlagwortet mit | Hinterlasse einen Kommentar

Identity on Blockchains

Veröffentlicht unter Digitale Identitäten | Verschlagwortet mit , | Hinterlasse einen Kommentar

Identity Economy: Ein kurzer Wochenrückblick #11

Von Ralf Keuper

Anbei eine Aufstellung von Beiträgen, die mir in dieser Woche besonders ins Auge gefallen sind:

Veröffentlicht unter Digitale Identitäten, Identity Economy, Wochenrückblick | Hinterlasse einen Kommentar

Decentralized Identity Foundation (DIF) in Motion

Weitere Informationen:

The Rising Tide of Decentralized Identity

Veröffentlicht unter Digitale Identitäten | Verschlagwortet mit | Hinterlasse einen Kommentar

Rouven Heck (uPort) über Verimi und die Vorteile dezentraler ID-Lösungen

Aus einem Interview mit Rouven Heck von uPort.

Verimi sounds very interesting and a good step towards an alternative to Google & Facebook, but from my limited knowledge from the public information, it’s ultimately a platform which is operated by one entity. This entity is in control of users IDs and their data. Therefore whilst it seems like a great offering for German and European customers, it’s not fundamentally different from existing federated systems.

I don’t believe it’s either desirable or likely that we will end up with one identity provider. I assume that to establish a truly globally accepted identity system, it needs to be an open standard technology stack, which is not controlled from any individual or group of companies. Like TCP/IP or HTTP are open standards which are adopted around the world to build the internet as we know it – I believe the future is a similar identity protocol based on the decentralized and self-sovereign principle. That is one of the reasons, why we are a founding member and strong supporter of the Decentralized Identity Foundation (DIF), which now includes a number of startup competitors as well as big companies like Microsoft & IBM as member

Veröffentlicht unter Digitale Identitäten, Digitale Plattformen / Plattformökonomie | 1 Kommentar

Regierungen liebäugeln in Sachen Digitale Identitäten mit der Blockchain

Von Ralf Keuper

Die Zahl der Regierungen, die planen, ihre Identitätssysteme mit Hilfe der Blockchain-Technologie zu errichten bzw. zu modernisieren, nimmt kontinuierlich zu. Das geht u.a. aus dem Beitrag Governments Eye Blockchain in Their Creation of National Identity Systems hervor. Darin werden die Regierungen von Singapur, Estland und Illinois genannt.

Mit einer nationalen Blockchain-Strategie beschäftigen sich ferner Malta und Dubai. In Kanada ist mit SecureKey eine ähnliche Entwicklung zu beobachten (Vgl. dazu: SecureKey’s blockchain digital identity network gains support from National Bank of Canada).

Auf (zentral-) europäischer Ebene ist ISÆN aus Frankreich zu erwähnen (Vgl. dazu: Sicheres Identitätsmanagement im Internet mit ISÆN).

Es sieht so aus, als würde die Blockchain als Basistechnologie den Standard im Bereich Digitale Identitäten bilden, wobei die Staaten für die nötige Sicherheit und Akzeptanz sorgen und als letzte Instanz fungieren. Die private Wirtschaft kann auf dieser Basis eigene Lösungen und Services anbieten, für die die Kunden zu zahlen bereit sind. Die Kunden wiederum haben die Möglichkeit, ihre Digitalen Identitäten und Vermögenswerte, sofern sie wünschen, in Eigenregie zu verwalten.

Veröffentlicht unter Digitale Identitäten, Identity Economy | Hinterlasse einen Kommentar