Microsoft hat ein Netzwerk für digitale Identitäten auf Grundlage von Bitcoin entwickelt – ist das gut oder schlecht? Was sind eigentlich digitale Identitäten? Und was hat das mit Bitcoin zu tun? Die wichtigsten Antworten im Überblick.
Digitale Identitäten
Eine digitale Identität ist eine Information, die uns in der digitalen Welt repräsentiert. Eine einfache Form ist der Benutzername, mit dem wir uns bei einer Anwendung oder einem System anmelden. Unsere Handlungen und Kommunikationen werden dann mit diesem Benutzernamen verknüpft. Regelmäßig ist eine Form der Authentifizierung vorgesehen, mit der wir nachweisen, dass wir der Inhaber dieser Identität sind – zum Beispiel ein Passwort. Bei sicheren Anwendungen wird ein zweiter Faktor gefordert, wie ein zeitbasierter Code (TOTP) oder eine Chipkarte.
Dieselbe Person kann beliebig viele digitale Identitäten haben. Dies kann zum Selbstdatenschutz genutzt werden. Wer sich in allen Foren und sozialen Medien „Rumpelstilzchen_1984“ nennt, wird zwar nicht unmittelbar durch den Nickname enttarnt. Doch die kombinierten Spuren im Netz machen sie oder ihn leicht wieder erkennbar. Es schützt daher die Privatsphäre, wenn Anbieter sozialer Netzwerke es ihren Mitgliedern ermöglichen, unabhängig von der digitalen Identität ein Pseudonym als öffentlichen Nickname zu wählen (Facebook hingegen zwingt zur Angabe des Klarnamens).
Auch wenn also verschiedene digitale Identitäten Vorteile haben, spricht die Benutzerfreundlichkeit dafür, dieselbe digitale Identität für verschiedene Dienste nutzen zu können. Wer will sich schon für jeden Dienst eine neue Identität zulegen und ein neues Passwort merken? Dies haben Facebook, Google, Apple & Co., bei denen fast jeder Internetnutzer registriert ist, schon lange erkannt. Sie bieten daher die Möglichkeit, sich mit dem Konto dieser Anbieter auch bei Drittanbietern anzumelden. Im Idealfall besteht dabei die Möglichkeit, zu bestimmen, welche Informationen aus dem eigenen Konto dem Dritten zugänglich sind.
Selbstbestimmte Identitäten (SSI)
Die großen Anbieter versuchen also, als „Torwächter“ eine Schlüsselstelle bei digitalen Identitäten zu besetzen. Das ist so lange in Ordnung, wie wir dem jeweiligen Anbieter vertrauen können und unsere Daten dort sicher aufgehoben sind. Besser ist es jedoch, wenn wir unsere digitalen Identitäten selbst kontrollieren können, ohne auf ein Konto bei einem großen Anbieter angewiesen zu sein. Dies ist der Grundgedanke des Konzeptes der selbstbestimmten Identitäten (self-sovereign identities, SSI).
SSI ermöglichen es Nutzerinnen und Nutzern, ihre Identitäten selbst zu erschaffen und zu kontrollieren. Diese Identitäten sind dann die Grundlage für jede online durchgeführte vertrauensvolle Interaktion. Sie ermöglichen den Austausch verschlüsselter Nachrichten per E-Mail oder in sozialen Medien, den Abschluss von Kaufverträgen auf Handelsplattformen, Online-Banking und vieles mehr. Auch der Nachweis geforderter Eigenschaften gegenüber anderen Stellen kann online auf Basis digitaler Identitäten im Zusammenspiel mit Public-Key-Infrastrukturen erbracht werden. Beispiele sind das Mindestalter beim Alkoholkauf, der Nachweis des Studienabschlusses im Rahmen einer Bewerbung oder eine bestimmte Nationalität, von der die Inanspruchnahme einer Behördenleistung abhängt.
Es geht also bei SSI um nicht weniger als die Zukunft unseres digitalen Selbst – um unsere digitale Souveränität. Die überragende Bedeutung dessen haben auch die Bundesregierung (PDF zur digitalen Identität; Überblick des BMWi) und die EU erkannt. Letztere setzt SSI gegenwärtig auf Basis einer öffentlichen Blockchain um (European Blockchain Services Infrastructure, EBSI). Über eine Brücke zum eIDAS-System für digitale Signaturen sollen DID-Inhabern Bestätigungen und Nachweise von öffentlichen Stellen und anderen zertifizierten Einrichtungen erhalten können.
Dezentrale Identitäten (DID)
Um Identitäten unabhängig von zentralen Kontrollinstanzen wie etwa großen Internet-Dienstleistern oder Staaten verwalten zu können, bedarf es einer verteilten Infrastruktur. Deshalb beruhen SSI regelmäßig auf dezentralen digitalen Identitäten (DID). Dabei werden die Identitätsinformationen in einer verteilten Datenbank wie einer Blockchain gespeichert.
Für DIDs gibt es bereits einen internationalen Standard des W3C. Wer eine entsprechende DID besitzt, kann sich damit bei jedem Service anmelden, der diesen Standard unterstützt – ohne den sonst erforderlichen externen „Identity Provider“. DIDs können beliebig generiert und in Wallets gespeichert und verwaltet werden. Technisch steckt dahinter das Prinzip der Public-Key-Verschlüsselung, bei dem ein Paar aus einem geheimen und einem öffentlichen Schlüssel erstellt wird. Der geheime Schlüssel bleibt in der Hand der Nutzerin und ermöglicht ihr den Nachweis, Inhaberin der DID zu sein. Die Kontrolle liegt dann allein in ihrer Hand.
DID und ION – Gottes Werk und Microsofts Beitrag?
Der DID-Standard des W3C selbst schafft noch keine DID-Infrastruktur. Hierzu bedarf es Projekten, die verteilte Datenbanken umsetzen, um DIDs sicher zu speichern und über das Internet bereitzustellen (Decentralized Public Key Infrastructures). Die technischen Anforderungen an eine solche Datenbank sind enorm. Um auf globaler Ebene nutzbar zu sein, muss sie dezentral und sicher sein und trotzdem „skalieren“ – also eine Vielzahl von Anfragen pro Sekunde effizient beantworten können. Die Datenbank muss gegen Zensur resistent sein und Anfragen müssen so günstig sein, dass es sich lohnt, die Technik in alltägliche Anwendungen zu integrieren.
Microsoft hat sicher dieser Aufgabe angenommen und bereits vor vier Jahren passende Technologien evaluiert. Herausgekommen ist das ION (Identity Overlay Network), das nun in den Live-Betrieb übergegangen ist. Um die hohen Anforderungen an Dezentralität und Sicherheit zu erfüllen, setzt ION als „Layer-2-Netzwerk“ auf der Bitcoin-Blockchain auf. Der Großteil der Informationen wird also in einem eigenen weltweit verteilten Netzwerk aus ION-Nodes verarbeitet. Wichtig ist dabei auch, dass das ION-Netzwerk ohne eigenen Konsensmechanismus auskommt. Anders als beim „Proof-of-Work“-Ansatz gibt es also keine Probleme durch einen hohen Energieverbrauch.
Um von der einzigartigen Sicherheit des Bitcoin-Netzwerks zu profitieren, werden regelmäßig Hashwerte in die Bitcoin-Blockchain geschrieben. So partizipiert ION an der unerreichten Sicherheit von Bitcoin und stellt gleichzeitig eine Datenbank mit großen Informationsmengen und vielen Transaktionen pro Sekunde bereitzustellen, was mit der Bitcoin-Blockchain allein nicht möglich wäre. Vergleichbare ist diese Lösung mit dem Lightning-Netzwerk, was ebenfalls als Layer-2-Netzwerk konzipiert ist und die Skalierungsprobleme von Bitcoin-Zahlungen beseitigen soll.
Auf den ersten Blick liegt ein Widerspruch darin, dass Microsoft als großer Player in der IT-Szene sich für ein dezentrales Netzwerk einsetzt. So wie ION angelegt ist, lassen sich darin aber keine unlauteren Absichten erkennen. ION soll unabhängig von zentralen Instanzen entwickelt werden, der Quellcode ist offen und prüfbar. Microsofts Beitrag reduziert sich darauf, viel Quellcode beizusteuern und das Projekt zu seiner jetzigen Reife geführt zu haben.
Fazit
ION ist ein wichtiger Beitrag zur Durchsetzung von DIDs. Wenn genug Dienste das Protokoll unterstützen, wenn Apps und Wallets entwickelt werden, mit denen wir unsere DIDs einfach verwalten können, wenn öffentliche Stellen sich anschließen, um auf Basis von DIDs „Credentials“ wie Studienabschluss, Führerschein, Alter, Nationalität etc. zu bestätigen – dann können wir ein Stück digitaler Souveränität zurückgewinnen und verhindern, dass Wirtschaftsunternehmen über unsere digitale Identität entscheiden. Viele Wenns, gleichwohl ein hoffnungsvoller Ausblick.