Der Artikel did:self A registry-less DID method beschreibt eine neue Methode für dezentrale Identifikatoren (DIDs), die im Gegensatz zu bestehenden Lösungen keine vertrauenswürdige Registry zur Speicherung der zugehörigen DID-Dokumente benötigt. Die Authentifizierung eines did:self-Subjekts kann über beliebige Mittel erfolgen, ohne Sicherheitsannahmen über den Übermittlungsweg zu treffen. did:self ist leichtgewichtig, ermöglicht kontrollierte Delegation, bietet erhöhte Sicherheit und Privatsphäre und kann zur Identifizierung von Personen, Inhalten und IoT-Geräten verwendet werden. Besonders hervorzuheben ist die Möglichkeit impliziter DID-Dokumente, die eine Rekonstruktion basierend auf anderen Authentifizierungsmaterialien wie JSON Web Tokens (JWTs) und X.509-Zertifikaten erlauben.
Die Autoren argumentieren, dass die zunehmende Datensammlung durch große Unternehmen und die steigende Anzahl von Datenlecks die Notwendigkeit dezentraler Identitätslösungen unterstreichen. W3C DIDs bieten zwar ein portables, dezentrales Identitätsmodell, aber die gängige Praxis, DID-Dokumente in Registries zu speichern (zentralisierte oder Blockchain-basierte), birgt Sicherheits- und Datenschutzrisiken sowie potenziellen hohen Rechenaufwand (insbesondere für IoT-Geräte). did:self soll diese Probleme lösen, indem es eine Registry-lose Alternative bietet, die gleichzeitig mit den W3C-Spezifikationen kompatibel ist.
Ein did:self-Identifikator wird aus dem Fingerabdruck (Thumbprint) eines öffentlichen Schlüssels generiert. Das zugehörige DID-Dokument wird durch einen vom DID-Controller erzeugten Beweis geschützt, der mit dem öffentlichen Schlüssel verifiziert werden kann, der zur Erstellung des Identifikators verwendet wurde. Die Verifizierung benötigt keine zusätzlichen Informationen. Ein besonderes Merkmal von did:self ist die Unterstützung von sicherer DID-Freigabe und kontrollierter Delegation. Frühere Versionen wurden bereits in verschiedenen Anwendungen eingesetzt (Content-centric Security, IoT-Gruppenkommunikation, IPFS-Sicherheit).
Die aktualisierte did:self-Spezifikation bietet folgende Verbesserungen:
- Benutzerfreundliche Suffixe: DIDs können nun ein lesbares Suffix enthalten, um die semantische Bedeutung zu verbessern und die Unterscheidung zwischen verschiedenen Entitäten mit demselben Identifikator zu erleichtern.
- Implizite DID-Dokumente: Der Begriff “Beweis” wird verallgemeinert, und es werden zwei Methoden zur Generierung von DID-Dokumenten mithilfe von JWTs und X.509-Zertifikaten vorgeschlagen. Dies ermöglicht Interoperabilität mit bestehenden Authentifizierungs- und Autorisierungssystemen.
Der Artikel vergleicht did:self mit anderen Registry-losen DID-Systemen wie NaCL:did, did:key und ethr-did, die jedoch nur eine einzelne Verifizierungsmethode unterstützen. Im Gegensatz dazu erlaubt did:self DID-Dokumente mit mehreren Verifizierungsmethoden. Ein Vergleich mit did:peer, did:web und ION zeigt die Vorteile von did:self hinsichtlich Einfachheit, Flexibilität und Skalierbarkeit. Auch der Vergleich mit KERI hebt die Vorteile der Einfachheit und der Vermeidung von Zeugenmechanismen hervor.
Die Autoren diskutieren die Anwendung von did:self in Verbindung mit JWTs und X.509-Zertifikaten und zeigen, wie DID-Dokumente mit diesen Technologien dargestellt werden können. Dies ermöglicht eine einfache Integration in bestehende Systeme. Abschließend wird die Problematik der Widerruf von Verifizierungsmaterial angesprochen, wobei derzeit hauptsächlich auf Ablaufzeiten gesetzt wird. Weitere effizientere Mechanismen werden als zukünftige Forschungsarbeit genannt. Zusammenfassend bietet did:self eine sichere, private und skalierbare Lösung für dezentrale Identifizierung, die besonders für Anwendungen im IoT-Bereich und in Umgebungen mit eingeschränkten Ressourcen geeignet ist.