Die Gesetze digitaler Identitäten – aktualisiert

Von Ralf Keuper

Im Jahr 2005 verfasste Microsofts Chef Architekt für Identitätssysteme, Kim Cameron, seinen Beitrag The Laws of Identity. Cameron stellte darin die Frage, warum es so schwierig ist, einen Identity Layer für das Internet zu bauen, wobei er die Frage umgehend selbst beantwortete:

Why is it so hard to create an identity layer for the Internet? Mainly because there is little agreement on what it should be and how it should be run. This lack of agreement arises because digital identity is related to context, and the Internet, while being a single technical framework, is experienced through a thousand kinds of content in at least as many different contexts – all of which flourish on top of that underlying framework. The players involved in any one of these contexts want to control digital identity as it impacts them, in many cases wanting to prevent spillover from their context to any other.

Mittlerweile, so Phil Windley in seinem aktuellen Beitrag The Laws of Identity stehe eine Lösung zur Verfügung, die alle Anforderungen, die Cameron einst definierte, erfüllt: Sovrin.

Sovrin sei das Identity Metasystem, von dem Cameron sprach:

.. Sovrin presents an identity metasystem that anyone can use for any purpose and integrate with any tool or identity system they already use.
Beyond credentials, Sovrin’s architecture supports independent software agents to hold and process credentials as well as to perform identity transactions on the identity owner’s behalf. These agents interoperate directly with each other as peers. Sovrin specifies the protocols that agents use so that agents from different vendors can work together and to support substitutability.

Der eigentliche Clou, die wesentliche Blickveränderung, die mit Sovrin einhergehen, sei, dass die Nutzer keine Schlüssel und Passwörter managen würden, sondern Beziehungen und beglaubigte Aussagen hinsichtlich ihrer Person. Das Management der Schlüssel und Passwörter verlaufe unterhalb der Benutzeroberfläche. Die Nutzer agieren nicht mehr mit Passwörtern und Benutzernamen, sondern mit digitalen Repräsentationen derselben Dinge, die sie schon heute in der physischen Welt für die Identifizierung verwenden.

People establish Sovrin relationships within contexts they already understand (e.g. their bank’s website or their employer’s HR system). They store those relationships in an app that functions like an address book on their phone. The app also stores credentials, another familiar item rendered digitally in the app. Because these artifacts and the act of exchanging credentials is analogous to what people do in their every day lives, the process of doing so with Sovrin is familiar as well.

Durch die Verwendung unidirektionaler privater Decentralized Identifier (DIDs) würden die Anforderungen der Datenschutzgrundverordnung (DSGVO/GDPR) erfüllt:

Private DIDs are not written to the ledger, but rather maintained in pairwise relationships between parties in peer-to-peer agents that are under the control of identity owners. … Private DIDs are GDPR compatible since they are not shared on an immutable ledger.

Auch sei Sovrin kein Identity Provider, sondern eine Sammlung offener Protokolle sowie ein Netzwerk, das es Identity Providern erlaube, jedem Anfragenden zu jedem Zweck beglaubigte Aussagen zu einer Person (oder später auch zu einem Objekt) machen zu können.

Besides the control that credential exchange provides identity owners, people are not locked into a single provider for tools. They can choose from multiple, interoperable tools to use their Sovrin-based credentials. Sovrin is a public network that anyone can use. The network is architected to resist censorship that might deny people the control they need to use their digital credentials however they like.

Alles in allem, so Windley, sei Sovrin das Identiy Metasytem, das er seinerzeit beschrieben hatte.

Dieser Beitrag wurde unter Blockchain / Distributed Ledger Technology, Digitale Identitäten veröffentlicht. Setze ein Lesezeichen auf den Permalink.