Die elektronische Identität (EID), wie sie von der European Digital Identity (EUDI) Wallet Initiative und dem Swiss EID Projekt angestrebt wird, verspricht eine sichere, authentische und überprüfbare digitale Identität, die auf einem nutzerzentrierten Ansatz beruht. Die EID muss strenge Datenschutzbestimmungen wie die europäische Datenschutzgrundverordnung (GDPR) und das Schweizer Datenschutzgesetz einhalten. Diese Datenschutzerwägungen beinhalten die selektive Offenlegung und die Unverkettbarkeit, wodurch sichergestellt wird, dass keine Informationen über die vom Inhaber ausgewählten, selektiv offengelegten Attribute hinaus durchsickern. Gleichzeitig muss die Lösung die Einhaltung der starken Kundenauthentifizierung (SCA) erleichtern. Die EUDI-Wallet soll ausdrücklich als Mehrzweck-Authentifizierungsmechanismus dienen, wie in Kapitel 2.5.3 des Architektur- und Referenzrahmens (ARF) dargelegt, der die Verwendung der EUDI-Wallet für die SCA-Authentifizierung bei Finanzinstituten vorsieht. Die Sicherheitsstufe (Level of Assurance, LoA) – eine Kombination aus Authentifizierung und Identifizierung – muss laut ARF hoch sein. Wesentliche Komponenten für ein hohes LoA sind die Gerätebescheinigung und die alleinige Kontrolle des Benutzers.
Die Gerätebescheinigung, die einen kryptografischen Nachweis darüber liefert, wo die Ausführung stattgefunden hat, und in der die Schlüsselspeicherung, die Benutzerauthentifizierung und die geschützten Bestätigungsmethoden detailliert aufgeführt sind, ist für die Zertifizierung eines Geräts von grundlegender Bedeutung. Außerdem muss die Offenlegung von Identitätsattributen unter der alleinigen Kontrolle des Inhabers bleiben. Die alleinige Kontrolle des Benutzers kann durch eine geschützte Bestätigung auf einer vertrauenswürdigen Benutzeroberfläche (Trusted User Interface – TUI) erreicht werden. Die TUI und die biometrische Bestätigung gewährleisten die alleinige Kontrolle, selbst in Szenarien, in denen das Endgerät durch Schadsoftware kompromittiert ist. Dieses Konzept ist von entscheidender Bedeutung für Zahlungssysteme, die eine Authentifizierung mit dynamischer Verknüpfung (siehe EU-Richtlinie 2015/2366 über Zahlungsdienste im Binnenmarkt (PSD2)) und 3-D-Secure-Bestätigungen für Kreditkartentransaktionen vorschreiben.Damit diese Richtlinien wirksam und in einem regulatorischen Rahmen durchsetzbar sind, müssen sie auf technologieneutralen internationalen Standards beruhen. FIDO, das als internationaler Standard anerkannt ist, ist aufgrund seiner Übereinstimmung mit diesen Grundsätzen und seiner nachgewiesenen Fähigkeit, sichere und nutzerorientierte Authentifizierungslösungen zu bieten, ein erstklassiger Kandidat. Ein starkes Argument für FIDO ist seine Übereinstimmung mit der eIDAS-Verordnung, wie in Using FIDO with eIDAS Services und Using FIDO for the EUDI Wallet beschrieben.
Dieses Papier spezifiziert eine FIDO-Erweiterung für die Benutzeridentifikation unter Verwendung von verifizierbaren Berechtigungsnachweisen (VC) im Rahmen des Paradigmas der Self-Sovereign Identity (SSI), wie ursprünglich in vorgeschlagen, mit Schwerpunkt auf der alleinigen Kontrolle. Diese Erweiterung zielt darauf ab, die starken Authentifizierungsfähigkeiten von FIDO durch eine robuste Identifizierung zu verbessern.In der Einleitung gehen wir zunächst kurz auf die rechtlichen Anforderungen ein. Anschließend schlagen wir vor, den FIDO-Authentifikator als Sicherheitskern für die geschützte Bestätigung unter alleiniger Kontrolle des Benutzers zu verwenden.
In Kapitel 3 befassen wir uns mit der Herausforderung, dass kryptografische Zero-Knowledge Proof (ZKP)-Verfahren für die selektive Offenlegung noch im Entstehen begriffen sind und noch nicht auf zertifizierten Secure Elements (SE) zur Verfügung stehen. In Kapitel 4 wird eine geschützte Bestätigung nicht nur für die Zahlungsbestätigung, sondern auch für die selektive Offenlegung vorgeschlagen. Kapitel 5 behandelt, wie die FIDO-Zertifizierung für die Gerätebescheinigung genutzt werden kann. In den Kapiteln 6 und 7 wird die Integration in den bestehenden FIDO-Standard erörtert: Durch die Nutzung von FIDO können die vorgeschlagenen Umsetzungsrichtlinien eine solide Grundlage für eine sichere Zahlungsabwicklung gewährleisten.
Quelle: Fido Core for Eid-Wallets