Das Problem der Bindung für SSI und NFTs

Nachweis einer Verbindung zwischen einer digitalen Identität oder NFT und dem, was sie darstellt.

TL;DR:
Der Nachweis der Verbindung zwischen einer digitalen Identität oder NFT und dem, was sie repräsentiert, ist ein wichtiger Schritt, der beim Einsatz von SSI- oder NFT-Technologien beachtet werden muss. In diesem Blogbeitrag werden die Herausforderung und mögliche Lösungen untersucht.

Mit den Fortschritten bei der Self-Sovereign Identity (SSI) und dem Aufkommen von NFTs werden Identitäten zunehmend zu einem zentralen Thema der Distributed Ledger Technology (DLT). NFTs und Identitäten schaffen digitale Repräsentationen, die in eine DLT eingebettet sind und eine Person, ein physisches Objekt, ein Unternehmen oder einen digitalen Vermögenswert darstellen. Die größte Herausforderung für beide Technologien ist die Verbindung zwischen den digitalen Identitäten und dem, was sie repräsentieren. Dies nennen wir das „Bindungsproblem“ und wird das Thema dieses Artikels sein.

automatischer Handel mit Kryptowährungen

Das Bindungsproblem ist ein zentraler Punkt, den jedes Projekt, das SSI, NFT und digitale Identitäten im Allgemeinen verwendet, berücksichtigen muss. Es geht um den Nachweis, dass eine digitale Identität mit dem verbunden ist, was sie repräsentiert. Die Art und Weise, wie dies erreicht wird, hängt davon ab, wofür die Identitäten stehen. Beispielsweise stellt die Identität von Personen eine völlig andere technologische und rechtliche Herausforderung dar als die Identität von Organisationen, Dingen oder (digitalen) Vermögenswerten. In diesem Artikel untersuchen wir die verschiedenen Arten von Identitäten und wie sie das Problem der Verbindlichkeit lösen können.

Identität für Menschen

Das Problem der Verbindlichkeit für Personen besteht in beide Richtungen. Die erste Richtung ist ein Problem, das so alt ist wie das Internet selbst: Wie kann man den Besitz einer digitalen Identität oder eines Kontos nachweisen? Wie in unserem Blogbeitrag Login mit IOTA erörtert, basierten die meisten Computersysteme auf „etwas, das man kennt“ (Passwort) und bewegen sich langsam in Richtung „etwas, das man hat“ (privater Schlüssel, Karte, Zugang zu E-Mail). Bei der letztgenannten Lösung kann die Kontrolle über eine Identität leicht nachgewiesen werden, indem man nachweist, dass man einen der privaten Schlüssel besitzt, die mit der Identität verbunden sind.

Die eigentliche Herausforderung besteht darin, zu beweisen, dass eine Identität mit der Person verbunden ist, die sie repräsentieren soll. Bei Personen wird diese Frage noch komplizierter, wenn man Datenschutzgesetze wie die DSGVO berücksichtigt. Wie viele Informationen sollten offengelegt werden und was ist der Zweck dieser Informationen, die offengelegt werden sollen? Jede Anwendung, die mit der Identität von Personen interagiert, die SSI nutzen, muss sich die Frage stellen, welche Art und wie viele Beweise erforderlich sind, um der Identität ausreichend zu vertrauen und einen Dienst bereitzustellen. Die Antwort auf diese Frage ist sehr unterschiedlich, z. B. wenn man etwas in einem Webshop kauft oder eine Krankenversicherung abschließt.

Die eIDAS-Verordnungen in Europa bieten mit ihrer Skala der Vertrauenswürdigkeit ein hervorragendes Beispiel dafür: Personen können sich mit einem „geringen“, „erheblichen“ oder „hohen“ Maß an Sicherheit identifizieren, wobei mit jeder Stufe die Menge der preisgegebenen Daten und damit das Vertrauen in die Sicherheit hinter der Identifizierung steigt. Für einige Dienste ist ein „hohes“ Niveau erforderlich, während andere mit einem „niedrigen“ Niveau auskommen, da sie weniger Verantwortung für die Speicherung von Kundendaten tragen müssen.

iota schnell auf bitvavo kaufen
Source: eHAction report
Source: eHAction report

Die eIDAS-Skala der Zuverlässigkeitsgrade ist ein Maßstab, um zu bestimmen, wie viele und welche Art von Informationen für die Erbringung einer Dienstleistung erforderlich sind. Sie wird von EU-Regierungsbehörden und der Finanzdienstleistungsbranche übernommen, ist aber nicht für alle Fälle geeignet. Die Anforderungen hängen ganz von der jeweiligen Situation ab, die von kaum identifizierenden Informationen bis hin zu beträchtlichen Mengen an Informationen reichen kann.

Aber es kommt nicht nur auf die Informationen selbst an, sondern auch auf die Quelle der Informationen. Um mich, Jelle Millenaar, als Mitwirkenden im IOTA-Ökosystem zu identifizieren, kann meine Identifizierung auf dem „Web of Trust“-Modell basieren, bei dem mehrere andere IOTA-Mitwirkende mich erkennen, indem sie für meine Identität als „das ist Jelle“ bürgen. Sie sind die Quelle meiner Identifikation, was weniger aufdringlich ist als eine staatliche Identifikation, aber auch weniger zuverlässig, was für einen solchen Zweck vollkommen in Ordnung ist.

Suche Gastautoren

SSI gibt den Menschen zwar die Kontrolle über ihre eigenen Daten zurück, macht es aber auch einfacher, mehr Informationen als Dienstanbieter zu verlangen. Das IOTA Identity Team ist sich dessen bewusst und nimmt seine Verantwortung sehr ernst. Deshalb fügen wir dem IOTA Identity Framework Schutzmaßnahmen hinzu, wie z.B. „nicht seriöse“ Datenanfragen, bei denen die Nutzer nachweisen können, dass ein Dienstanbieter zu viele unnötige Informationen für den von ihm angebotenen Dienst verlangt hat. Die Technologie kann nicht die einzige Lösung sein, da dies eine unmögliche Aufgabe ist. Letztlich müssen die Regierungen ihre Bürger per Gesetz vor aufdringlichen Datenanfragen schützen, wie es in Europa mit der GDPR der Fall ist. Die IOTA Foundation wird sicherstellen, dass ihre Technologie die Werkzeuge zur Datenminimierung durch Zero-Knowledge Proofs (ZKP) und selektive Offenlegung bereitstellt und es den Nutzern ermöglicht, sich gegen aufdringliche Datenanfragen zu wehren. Selbst wenn eine Person sich mit hoher Sicherheit identifizieren kann, bedeutet das nicht, dass sie es muss oder sollte.

automatischer Handel mit Kryptowährungen

Mit einer Identität für Menschen kann das Problem der Bindung gelöst werden. Das SSI-Ökosystem benötigt eine gesunde Anzahl von Ausstellern von Identitätsnachweisen, die von geringer bis hoher Sicherheit reichen, und die Instrumente zur Minimierung der gemeinsamen Datennutzung. In einem gesunden Ökosystem kann eine Person die Kontrolle über eine Identität nachweisen, und die Identität kann direkt mit der Person, die sie identifiziert, verknüpft oder verbunden werden.

Identität für Organisationen

Das Problem der Bindung für Organisationen ist etwas weniger kompliziert. Ähnlich wie bei Personen kann auch eine Organisation die Kontrolle über eine Identität nachweisen, entweder über einen Vertreter wie einen Direktor oder einen Mitarbeiter oder über eine API, die sie beispielsweise auf ihren eigenen (Cloud-)Servern hostet. Die Möglichkeit, mehreren Mitgliedern der Organisation die Kontrolle über eine Identität zu geben oder sogar Änderungen an der Identität nur dann zuzulassen, wenn mehrere Personen zustimmen, ermöglicht es Organisationen, Identitäten effektiv zu verwalten. Die Schwierigkeit liegt jedoch wiederum im umgekehrten Beweis: Wie kann eine Identität beweisen, dass sie eine bestimmte Organisation repräsentiert?

Ähnlich wie bei der Identität für Personen ist die erforderliche Menge an Beweisen und das Vertrauen in die Aussteller der identifizierenden Informationen je nach Situation unterschiedlich. Häufig fungieren Organisationen selbst als Aussteller von überprüfbaren Ausweisen, was sie zu einer (potenziell) vertrauenswürdigen Informationsquelle im SSI-Ökosystem macht. Eine verlässliche Identifizierung dieser Aussteller ist wichtig, um das Gewicht der von ihnen ausgestellten Ausweise zu erhöhen. Als Beispiel dafür, wie die Zuverlässigkeitsstufen für Organisationen aussehen könnten, ist hier eine willkürliche Skala zur Darstellung der Bandbreite des Vertrauens:

automatischer Handel mit Kryptowährungen

Geringe Gewissheit

Die Überprüfung von Domänennamen ist ein Konzept, das eine Identität mit einem Domänennamen verbindet. Dies geschieht in beide Richtungen, wobei die DID der Organisation die Domäne der Organisation aufführt, während die DNS-Einträge des Domänennamens ihre DID(s) auflisten. Dies bietet zwar kein automatisierbares Vertrauen, aber eine Person würde eine Identität von „iota.org“ leicht als vertrauenswürdig identifizieren, während „ioba.org“ nicht vertrauenswürdig ist. Dies ist im Wesentlichen ein selbst ausgestellter Beweis.

Substanzielle Gewissheit

Eine Organisation kann durch andere Organisationen identifiziert werden, z. B. durch eine übergreifende Organisation wie ein Kollektiv oder eine Arbeitsgruppe. Sie identifizieren die Organisation und werden zur Quelle des Vertrauens oder zum Vertrauensanker. Das Gewicht dieser Identifizierungen hängt wiederum von ihrem eigenen Grad an Sicherheit ab. Dies ist ein rekursives Problem, daher muss eine überprüfende Partei im Voraus festlegen, welchen Identitäten sie als Vertrauensanker im Ökosystem vertraut, oder sie muss aktiv entscheiden, ob sie der Identifizierung auf der Grundlage der vorgelegten Beweise vertraut.

Hohe Gewissheit

Jede Organisation, die offizielle Geschäfte tätigt, muss bei ihrer lokalen Regierung registriert sein. Die Handelskammer oder eine vergleichbare Stelle könnte die perfekte Quelle für einen Identifikationsnachweis mit hoher Sicherheit sein. Die Regierung bestätigt die Bindung zwischen der Organisation und ihrer/ihren DID(s), entweder durch überprüfbare Bescheinigungen, direkte Erwähnung auf ihrer Website oder beides.

Web of Trust mit geringer Sicherheit

Kleine Organisationen in Entwicklungsländern können sich möglicherweise nicht auf eine solche Infrastruktur verlassen. Es könnte sich um einen kleinen Bauernhof handeln, für den es schwierig ist, mit westlichen Unternehmen Geschäfte zu machen. Ohne staatliche Registrierung, Domänennamen oder übergreifende Arbeitsgruppen kann es schwierig sein, Vertrauen aufzubauen. Oft haben diese Unternehmen jedoch bereits auf lokaler Ebene miteinander und vielleicht auch mit einer anderen westlichen Organisation zusammengearbeitet. Diese Kooperationen könnten als „Überprüfungsnachweise“ hinzugefügt werden und können dazu beitragen, Glaubwürdigkeit zu schaffen, ohne dass dafür eine schwierige Infrastruktur erforderlich ist, wodurch im Wesentlichen ein Vertrauensmodell für kleine Unternehmen geschaffen wird.

Identität für Dinge

Das Bindungsproblem für Dinge ist wahrscheinlich am einfachsten zu lösen. Ein Ding kann die Kontrolle über eine Identität nachweisen, indem es die Kontrolle über die privaten Schlüssel der Identität hat, ähnlich wie Menschen und Organisationen. Man kann es also auffordern, sich zu authentifizieren, womit die Hälfte des Bindungsproblems sofort gelöst ist. Die andere Hälfte ist wieder eine Herausforderung, aber höchstwahrscheinlich gibt es eine weniger komplizierte Reihe von Zusicherungen. So könnte ein Gerät beispielsweise nachweisen, welches Gerät durch die Identität repräsentiert wird, indem es Referenzen eines Herstellers, Installateurs, Kalibrators oder rein auf Bewertungen basierende Referenzen vorlegt.

Die gleiche verbindliche Lösung gibt es auch für Datenorakel, auch wenn sie keine Sache sind. Sie können ihre Vertrauenswürdigkeit auf der Grundlage ähnlicher Referenzen des Hosts, der Datenanbieter und der Bewertungen der Datenkonsumenten nachweisen.

Identität für Objekte und NFTs

Die Lösung des Bindungsproblems für die vorherigen Identitätstypen ist im Vergleich zu Objekten oder NFTs trivial. Der Unterschied liegt in der Fähigkeit des Subjekts der Identität, auf Anfragen zu antworten. Ein Verifizierer kann eine Person auffordern, sich zu authentifizieren und ausreichende Beweise zu liefern, um die DID mit dem Subjekt der Identifikation selbst zu verbinden, indem er überprüfbare Referenzen vorlegt. Eine Prüfstelle kann ähnliche Anfragen direkt an eine Organisation oder ein Gerät richten, das über einen elektronischen Schaltkreis verfügt, der in der Lage ist, IO (Input Output) und kryptografische Operationen durchzuführen.

Eine Identität, die einen digitalen Vermögenswert (oft eine NFT) oder einen physischen Vermögenswert ohne elektronischen Schaltkreis repräsentiert, kann dies nicht tun. Sie kann weder authentifizieren noch Beweise liefern. Das ist der Grund, warum NFTs in ihrer derzeitigen Form nichts Wesentliches in Bezug auf digitale Identitäten leisten, da sie dieses Problem bequem ignorieren, was zu einfachen „Rechtsklick-Kopieren-Einfügen“-Situationen und Betrug geführt hat. Eine NFT kann einfach nicht beweisen, dass sie an einen Vermögenswert gebunden ist, und ein Vermögenswert kann auch nicht beweisen, dass er an die NFT gebunden ist. Wie kann also eine NFT oder ein Objekt an den Vermögenswert gebunden werden, den sie repräsentiert?

Eine Lösung für einen physischen Vermögenswert besteht darin, ihn zu digitalisieren. Dies erfordert die Einführung eines elektronischen Schaltkreises in den physischen Vermögenswert, z. B. durch einen RFID-Tag. Auf diese Weise kann ein nichtelektronischer Gegenstand zu einem Gerät werden und auf Anfragen reagieren. Man sollte jedoch den Kopierschutz und die Entfernung von RFID-Etiketten berücksichtigen. Das Vertrauen in das System, das die Identität trägt, bestimmt auch das Vertrauen in die Identität.

Für NFTs, die sich auf Profilbilder und andere digitale Kunstwerke konzentrieren, ist eine ähnliche Lösung nicht möglich, da die Informationen zu leicht kopiert werden können, wodurch die einzigartige Verbindung zwischen der Identität und dem, was sie repräsentiert, zerstört wird. Eine mögliche Verbesserung bestünde darin, die Anbieter von Beweisen und Vertrauen zu bevollmächtigen. Eine NFT wird immer von einer Entität geprägt. Diese Einheit kann als Stellvertreter für das Vertrauen in die NFT fungieren, indem sie den Nachweis erbringt, dass sie z. B. der Schöpfer der Kunst ist. Ebenso könnte eine Organisation den Nachweis erbringen, dass sie die Rechte an dem Vermögenswert rechtlich kontrolliert und dass die NFTs rechtlich an diese Rechte gebunden sind. Mit jeder dieser Optionen hätte eine NFT eines digitalen Vermögenswerts einen wesentlich höheren verbindlichen Wert.

Dies zeigt, dass die Identität von Objekten und NFTs eine große Herausforderung für die Zukunft bleibt. Obwohl beide spannend sind und NFTs einen großen Hype auslösen, fehlt der Technologie eine technische oder rechtlich abgesicherte Lösung, um einen Vermögenswert an eine Identität zu binden. Mit dem IOTA-Identitäts-Framework konzentrieren wir uns weiterhin darauf, Werkzeuge für alle Formen der Identität bereitzustellen, um das Vertrauen in die Bindung zu erhöhen, aber auch um über die Bedeutung von Beweisen und Risiken aufzuklären.

Dies war ein informativer Artikel, der im Zusammenhang mit IOTA Identity geschrieben wurde, einem Rahmenwerk für selbstverwaltete Identität, das auf dem IOTA Tangle basiert. Wir hoffen, dass er die Bedeutung bestimmter Entscheidungen verdeutlicht, die von Anwendungsentwicklern und Benutzern getroffen werden müssen. Wenn Sie Fragen zum IOTA Identity Framework haben oder auf der Suche nach Gleichgesinnten sind, die sich für DIDs interessieren, können Sie uns gerne im IOTA Discord im #identity Kanal besuchen.

Original by Jelle Millenaar: https://blog.iota.org/the-binding-problem-for-ssi-and-nfts/

0 0 Stimmen
Artikel Bewertung
Abonnieren
Benachrichtige mich bei
guest
0 Kommentare
Inline-Rückmeldungen
Alle Kommentare anzeigen
0
Ich würde mich über Ihre Meinung freuen, bitte kommentieren Sie.x
()
x