Das Papier “Next Generation Authentication for Data Spaces: An Authentication Flow Based On Grant Negotiation And Authorization Protocol For Verifiable Presentations (GNAP4VP)” stellt ein neues Protokoll zur Identitätsprüfung für Datenräume vor. Ziel ist es, die Sicherheit und den Datenschutz in digitalen Umgebungen zu verbessern, insbesondere in geteilten Datenräumen. Das Protokoll erweitert das Grant Negotiation and Authorization Protocol (GNAP) und integriert OpenID Connect for Verifiable Presentations (OIDC4VP) sowie Linked Verifiable Presentations (LVP). Es basiert auf den Prinzipien der Self-Sovereign Identity (SSI), um eine dezentrale, nutzerzentrierte Identitätsverwaltung zu ermöglichen.

Hintergrund und Motivation:

Die zunehmende Digitalisierung und die zentrale Rolle von Daten erfordern robuste Identitätsmanagementsysteme. Traditionelle Authentifizierungsmethoden wie OAuth 2.0 weisen Einschränkungen auf, insbesondere hinsichtlich Flexibilität, Datenschutz und Unterstützung dezentraler Identitäten. SSI ermöglicht es Nutzern, die volle Kontrolle über ihre digitalen Identitäten zu behalten, indem sie überprüfbare Zugangsdaten (Verifiable Credentials, VCs) in digitalen Geldbörsen speichern und selektiv offenlegen. GNAP ist ein vielversprechendes Protokoll der nächsten Generation, das die Einschränkungen von OAuth 2.0 überwindet, aber keine nativen Mechanismen für VCs oder SSI integriert.

GNAP4VP-Lösung:

GNAP4VP schließt diese Lücke, indem es GNAP um die Unterstützung für die Überprüfung von Identitäten auf Basis von VCs erweitert. Es kombiniert die Flexibilität von GNAP mit den datenschutzfreundlichen Funktionen von OIDC4VP und LVPs. Das Protokoll bietet zwei Interaktionsflüsse:

1. Wallet-Driven Interaction: Dieser Fluss ähnelt der umleitungsbasierten Interaktion von GNAP, überträgt die Kontrolle jedoch an die digitale Geldbörse des Benutzers. Dies ermöglicht es Benutzern, die Offenlegung von Zugangsdaten direkt zu überprüfen und zu genehmigen, was den Datenschutz und die Benutzerkontrolle verbessert.
2. LVP Authorization: Dieser Fluss ist für die vollständig automatisierte Maschine-zu-Maschine-Kommunikation konzipiert. Er nutzt Linked Verifiable Presentations (LVPs) für den direkten Austausch von Identitätsdaten zwischen dem Consumer und dem Autorisierungsserver, was besonders für Backend-Dienste mit hohen Anforderungen an Identitätssicherheit geeignet ist.

Sicherheitsmechanismen und Fazit:

Beide Flüsse integrieren robuste Sicherheitsmechanismen, die aus GNAP und OIDC4VP stammen, wie Interaktionsreferenzen, an Schlüssel gebundene Token und die Validierung überprüfbarer Zugangsdaten durch vertrauenswürdige Autoritäten.

Zukünftige Arbeiten umfassen die vollständige Implementierung und Evaluierung des LVP-basierten Modells, Leistungstests und die Verbesserung der Interoperabilität mit verschiedenen digitalen Geldbörsen. GNAP4VP trägt zur Schaffung einer vertrauenswürdigeren und souveräneren digitalen Infrastruktur bei, im Einklang mit europäischen Dateninitiativen.