In diesem Artikel werden wir über die 10 Prinzipien diskutieren, die von Christopher Allen, einem der Pioniere in dieser Welt, bezüglich der Self-Sovereign Identity (SSI) geprägt wurden. Laut Allen kann die SSI auf zwei Arten interpretiert werden: Die erste ist ideologisch, die (zentrale Lesart) die Wichtigkeit bekräftigt, die eigene Identität im Netz kontrollieren zu können, ohne Vertrauen entgegensetzen zu müssen; die zweite ist technologisch, was bedeutet, zu analysieren, welche Technologien und technologischen Standards dieses Ziel ermöglichen können.
Die 10 Prinzipien der SSI sollen genau definieren, welche Werte und Ziele die Idee und die Technologie verfolgen sollen. Sie wurden erstmals in Allens Blog formuliert, den wir uns analog als das berühmte Bitcoin White Paper von Satoshi Nakamoto vorstellen können.
Die 10 Prinzipien der SSI
Lassen Sie uns zunächst beschreiben, was sie bedeuten. Jedes Prinzip wird durch die in der SSI verwendeten technologischen Standards dekliniert: Decentralised Identifiers, Verifiable Credentials, DKMS, DID-Auth und Blockchain.
- Existenz – Der Benutzer muss eine unabhängige Existenz haben. Dieses Prinzip basiert auf dem Konzept des “Ich”, einer fundamentalen Komponente, die zum Wesen der Identität gehört. Es ist etwas, das untrennbar mit der Selbstwahrnehmung verbunden ist. Heutzutage, mit der zunehmenden Komplexität der Gesellschaft, wird Identität jedoch in staatlich ausgestellten Ausweisen wie Führerscheinen und Sozialversicherungskarten zusammengefasst, was bedeutet, dass eine Person ihre Identität verlieren kann, wenn ein Staat ihre Ausweise widerruft. Berechtigungsnachweise, die von der physischen Welt in die virtuelle Welt übertragen werden, die folglich ein digitales Selbst zeichnen. Dieses Prinzip besagt, dass ein Benutzer in der Lage sein muss, in der digitalen Welt zu existieren, ohne dass eine dritte Partei benötigt wird.
- Kontrolle – Benutzer müssen ihre Identitäten kontrollieren können. Nach einer Reihe von Vorfällen in jüngster Zeit, bei denen es um Identitätsverletzungen ging, wie dem Cambridge-Analytics-Skandal, zahlreichen hochkarätigen Datenschutzverletzungen im Stil von Equifax und dem Inkrafttreten der GDPR-Gesetzgebung, haben sich viele gefragt: “Wem gehören eigentlich Ihre Daten?” Souveränität ermöglicht es dem Nutzer zu kontrollieren, wie seine Identität verwendet wird, ohne die Art und Weise, wie die Gesellschaft organisiert ist, negativ zu beeinträchtigen. Denken Sie daran, dass Kontrolle nicht dasselbe ist wie zu sagen, dass jemand entscheiden kann, welche Daten mit ihm in Verbindung gebracht werden. Der Führerschein wird mir immer noch von der Zulassungsstelle zur Verfügung gestellt, aber der Unterschied ist, dass ich ihn, sobald er mir zur Verfügung gestellt wird, wie den Plastikführerschein, kontrollieren, aufbewahren und verwalten kann, wie ich es für richtig halte.
- Zugriff – Benutzer müssen Zugriff auf ihre eigenen Daten haben. Benutzer müssen auf ihre Daten und die damit verbundenen Ansprüche zugreifen können, ohne dass sie von Gatekeeper oder Vermittlern behindert werden. Das bedeutet nicht notwendigerweise, dass der Benutzer die Befugnis hat, alle mit seiner Identität verbundenen Aspekte und Ansprüche zu ändern; es bedeutet jedoch, dass ein Benutzer in der Lage sein sollte, auf Datensätze zuzugreifen, die alle mit seiner Identität verbundenen Änderungen anzeigen. Um die Souveränität anderer Benutzer zu schützen, sollte einem Individuum nur der Zugriff auf seine eigene Identität gewährt werden und nicht auf die anderer.
- Transparenz – Algorithmen und Infrastrukturen müssen transparent sein. In Verbindung mit dem vorangegangenen Prinzip stellt Transparenz sicher, dass Benutzer jeden potenziellen Missbrauch von Ansprüchen, Berechtigungsnachweisen oder Assoziationen im Zusammenhang mit ihrer Identität überwachen können. Im breiteren Kontext der Identität integriert Transparenz auch Fairness und Unterstützung für ein balanced identity system. Ein ausgewogenes Identitätssystem, so Allen, wird zu einem umfassenderen Schutz des Individuums führen. Systeme und Algorithmen müssen in einem verständlichen und leicht zugänglichen Format arbeiten und eine “klare und einfache Sprache” verwenden.
- Persistenz – Identitäten sollten auf lange Sicht Bestand haben. Dieses Prinzip besagt, dass Identitäten langfristig bestehen sollten, und zwar nach dem Ermessen des Benutzers. Inmitten ständiger Änderungen bei der Datenspeicherung und der Rotation privater Schlüssel (wenn ein Nutzer mehrere Wallets oder Identifikatoren innerhalb einer Blockchain hat), ermöglicht Persistenz den Nutzern, ihre Identitäten beizubehalten, obwohl sie mehrere private Schlüssel haben. Persistenz gilt nicht nur für Einzelpersonen; auch andere Institutionen, Organisationen und kollektive Entitäten sollten ihre Identitäten behalten können. Letztendlich sollten Identifikatoren in einem SSI-System das exklusive Eigentum der Person oder Personen sein, die sie erstellt haben.
- Portabilität – Identitätsbezogene Informationen und Dienste sollten leicht portierbar sein. Laut Allen müssen Informationen und Dienste leicht übertragbar sein und dürfen nicht ausschließlich von einer zentralisierten Drittinstanz gehalten werden. Selbst wenn eine dritte Instanz im besten Interesse des Benutzers arbeitet, bleibt das Problem des SPOF (single point of failure) bestehen. Die Portabilität stellt sicher, dass die eigene Identität nach Belieben des Benutzers an mehrere Orte übertragen und gespeichert werden kann.
- Interoperabilität – Identitäten können so weit wie möglich genutzt werden. Alle von Allen genannten Leitprinzipien zur ISS sind in irgendeiner Weise miteinander verbunden. Interoperabilität überschneidet sich mit Persistenz und Portabilität. Allen erklärt, dass die Bedeutung der Portabilität bei Identitäten darin besteht, dass Identitätsinformationen und -dienste portabel sein müssen. Dies hängt mit der Interoperabilität zusammen, insbesondere da portable Identitäten leichter über internationale Grenzen hinweg verfügbar sind.
- Zustimmung – Der Benutzer muss zustimmen, seine Identität zu verwenden. SSI-Systeme erfordern, dass persönliche Daten nur mit Zustimmung des Benutzers weitergegeben werden. Beim Aufbau einer dezentralen Self-Sovereign Identity muss die Zustimmung ständig im Auge behalten und in das System integriert werden. Dadurch wird sichergestellt, dass die Identitätsdaten privat bleiben (nach dem Ermessen des Benutzers) oder nicht.
- Minimierung – Die Offenlegung der eigenen Daten muss minimiert werden. Dieses Prinzip unterstreicht die Bedeutung des Schutzes der persönlichen Daten der Benutzer bei der Offenlegung von identitätsbezogenen Informationen. Wenn beispielsweise das Mindestalter eines Benutzers erforderlich ist (um auf eine Seite zuzugreifen), sollte von einem Benutzer nicht verlangt werden, den genauen Tag, Monat und das Jahr seiner Geburt anzugeben. Stattdessen sollte die Offenlegung des Benutzers durch die Angabe des Mindestalters minimiert werden. Laut Allen können Entwickler durch die Implementierung von selective disclosure, Reichweitentests und anderen Zero-Knowledge-Techniken die Minimierung erleichtern, um die Privatsphäre besser zu unterstützen. Grundsätzlich ermöglicht die aktive Minimierung eine datenschutzfreundlichere Interaktion zwischen Benutzern und Systemen.
- Schutz – Die Rechte der Benutzer müssen respektiert werden. Christopher Allen stellt fest, dass zur Gewährleistung des Benutzerschutzes ein unabhängiger, censorship-resistant Algorithmus vorhanden sein muss, der die Benutzeridentitäten authentifizieren kann. Allen betont, dass ein Self-Sovereign Identity-System ein Gleichgewicht zwischen Transparenz, Fairness und Benutzerunterstützung innerhalb des Netzwerks herstellen und gleichzeitig Schutz gewährleisten sollte. Es könnte ein zweischneidiges Schwert sein, wenn es nicht ausgewogen ist, weshalb es dezentral verwaltet werden muss. Eine der vielversprechendsten Regelungen für digitale Rechte wäre die europäische Datenschutzgrundverordnung (GDPR), die im Mai 2018 in Kraft getreten ist. Sie verlangt von Unternehmen, dass sie die Gesetze zum Schutz personenbezogener Daten einhalten und bei Nichteinhaltung mit hohen Geldstrafen belegt werden.
Fazit
Wie Sie vielleicht bemerkt haben, geht es bei den oben beschriebenen Prinzipien vor allem um den Nutzer, seine Rechte und die Infrastruktur, auf der dieses innovative Identitätsmanagement-System basiert. Das ISS steht als neues Modell, in dem der Benutzer buchstäblich im Mittelpunkt steht (deshalb wird es auch als benutzerzentriert definiert). Die 10 Prinzipien von Allen waren eine der ersten “Formulierungen” der Konzepte, die Teil dieser neuen Welt sind, die wir Ihnen mit all unseren Leitfäden täglich zu erklären versuchen.