Die eiDAS 2.0-Verordnung (elektronische Identifizierung und Vertrauensdienste), die die neue EU Digital Identity Wallet (EUDIW) definiert, ist ein wichtiger Schritt zur Entwicklung interoperabler digitaler Identitäten in Europa für den öffentlichen und privaten Sektor. Die Verordnung kann, wenn sie mit der richtigen Technologie umgesetzt wird, Europa zum Spitzenreiter bei privaten und sicheren Identifizierungsmechanismen im digitalen Raum machen und als Vorlage für zukünftige digitale Identitätssysteme in anderen Regionen dienen.

Leider sind wir der Meinung, dass einige der derzeit vorgeschlagenen Designaspekte der EUDI und ihres Berechtigungsmechanismus hinter den Datenschutzanforderungen zurückbleiben, die nach einer ausführlichen Debatte in der Verordnung zur digitalen Identität ausdrücklich definiert wurden. Der Hauptgrund für diese Unzulänglichkeit des aktuellen Vorschlags ist, dass er sich auf kryptografische Methoden stützt, die nie für solche Anforderungen konzipiert wurden. Wir sehen keine Möglichkeit, die vorgeschlagene Lösung so zu ändern, dass sie alle in der Verordnung geforderten Datenschutzmerkmale erfüllt; wir sind der Meinung, dass eine größere Umgestaltung angebracht ist.

In diesem Dokument schlagen wir stattdessen die Verwendung eines anderen kryptographischen Mechanismus vor, nämlich anonyme Berechtigungsnachweise. Anonyme Berechtigungsnachweise wurden speziell entwickelt, um eine Authentifizierung und Identifizierung zu erreichen, die sowohl sicher als auch datenschutzkonform ist. Daher erfüllen sie die in der eiDAS 2.0-Verordnung festgelegten Anforderungen vollständig. Außerdem sind sie mittlerweile eine ausgereifte Technologie.

Diese Technologie wurde vor mehr als zwanzig Jahren entwickelt, und es wurden umfangreiche Anstrengungen unternommen, um sie zu analysieren, zu verbessern, zu implementieren, zu standardisieren, zu testen und einzusetzen. Anonyme Berechtigungsnachweise werden von der wissenschaftlichen Gemeinschaft gut verstanden.
Unsere besondere Empfehlung ist die Verwendung der BBS-Familie anonymer Berechtigungsnachweise. BBS wurde dank der früheren Arbeit des W3C, der Decentralized Identity Foundation, der IETF/IRTF, der ISO und anderer Standardisierungsorganisationen entwickelt.

Dank der Verfügbarkeit von Open-Source-Softwarebibliotheken kann die EG mit geringem Aufwand eine Standard- und Referenzimplementierung entwickeln. Darüber hinaus empfehlen wir, die EUDI nach dem Prinzip der Krypto-Agilität zu konzipieren, d.h. die zugrundeliegenden Technologien können bei Bedarf in der Zukunft schnell aufgerüstet werden.
Wir danken der Europäischen Kommission für die Gelegenheit, uns einzubringen. Wir würden uns freuen, weiterhin Feedback zu diesem wichtigen Vorhaben zu geben, und sehen dieses Dokument als den Beginn eines längeren Dialogs.

Quelle: Cryptographers’ Feedback on the EU Digital Identity’s ARF