Entdecken Sie die innovativen Funktionen der neuen digitalen Identität (eID) in der Schweiz, basierend auf Zero-Knowledge und Blockchain-Technologie.
Die Digitalisierung beeinflusst nahezu jeden Aspekt der Gesellschaft. In Bereichen wie Handel, Märkten, Bankwesen und Freizeitgestaltung erhöht der Einsatz digitaler Technologie die Effizienz, verbessert den Zugang wie auch die Sicherheit. Dies hat nachhaltige Auswirkungen auf die Erwartungen an die Benutzerfreundlichkeit von Lösungen sowie auf Datenschutz, Sicherheit und Kontrolle der Daten, einschließlich der Eigentumsverhältnisse.
Die zunehmende Digitalisierung unseres Alltags verlangt nach einer digitalen Identität (eID) – ein Anwendungsfall mit weitreichenden Auswirkungen: Warum? Weil es oberste Prämisse der eID ist, in unserer digitalen Welt Vertrauen und Glaubwürdigkeit sicherzustellen. In den Fokus rücken hier wichtige Schnittstellen zur Bewegung und Interaktion in der Gesellschaft. Andererseits steht man in der Umsetzung der eID vor Herausforderungen in puncto Datenschutz, Sicherheit und Kontrolle – Hürden, die es zu überwinden gilt.
Ein anschauliches Beispiel bietet die Schweiz, ein Land, das derzeit seine digitale Identität (eID) überarbeitet. Nicht die Umstellung an sich ist das Besondere, sondern die im Zentrum stehenden Innovationen: Zero-Knowledge und Blockchain-Technologie.
Schweizer eID: Regulatorik beschleunigt Fortschritt
In der Schweiz macht die Entwicklung der digitalen Identität (eID) schnelle Fortschritte, angetrieben durch staatliche Gesetzgebung. Die Schweizer Regierung unternimmt diesen Schritt, während die meisten anderen europäischen Länder bereits eine Form der eID etabliert haben. Mit ihren aktuellen Anstrengungen zielt die Schweiz darauf ab, nicht nur diesen Aspekt abzudecken, sondern auch die Internetnutzung und den Zugang zu verschiedenen Diensten sicherer und besser organisiert zu gestalten.
Ein Vorschlag für die benötigten Grundlagen für elektronische Identifizierungsdienste im Bundesgesetz wurden bereits im Jahr 2021 entworfen. Dieses Gesetz wurde jedoch von den Schweizer Bürgern aufgrund von Datenschutzbedenken abgelehnt, da das System zwar unter staatlicher Aufsicht, aber von privaten Anbietern entwickelt werden sollte. Um diese Bedenken zu adressieren, erneuerte der Schweizer Bundesrat seine Bemühungen mit einem neuen eID-Gesetzesentwurf, der die Implementierung der Self-Sovereign Identity (SSI)-Technologie fordert. Dieser Ansatz überträgt die Kontrolle und das Eigentum der Daten in die Hände der Nutzer, statt sie bei Regierungen, Unternehmen oder anderen zentralen Institutionen zu belassen.
Zu den vielversprechendsten Ideen und Technologien, die eine Umsetzung des neuen Gesetzesentwurfs ermöglichen könnten und dabei die Anforderungen an eine SSI-basierte eID erfüllen, gehören Zero-Knowledge und Blockchain-Technologie.
Zero-Knowledge und digitale Identität:
Wissen ohne zu wissen
Datenschutz und Vertraulichkeit sind zentrale Herausforderungen für digitale Identitäten (eIDs). Hier kann das Zero-Knowledge-Protokoll eine effektive Lösung bieten. Dieses kryptografische Protokoll ermöglicht eine Authentifizierung, ohne dabei sensible Daten oder Details preiszugeben. Personen können beispielsweise Alter oder Einkommen bestätigen, ohne die genauen Werte offenzulegen. Zero-Knowledge-Technologien sind in der Lage, vielfältige Berechnungen durchzuführen, was sie auch für Anwendungen außerhalb von eIDs interessant macht.
Ein anschauliches Beispiel für Zero-Knowledge ist folgendes Szenario: Angenommen, jemand muss beweisen, dass er Schweizer Staatsbürger und über 18 Jahre alt ist. Auf der anderen Seite steht ein Verifizierungsvorgang, der diese Behauptungen bestätigen möchte. Der Beweisführer gibt lediglich an, dass er Schweizer Bürger ist und das geforderte Alter hat. Die eigentliche Überprüfung erfolgt dann durch ein komplexes kryptografisches Verfahren, welches die privaten, verschlüsselten Daten des Beweisführers nutzt. Der Vorteil: Die konkreten Daten werden in diesem Prozess nie offengelegt.
Das Verfahren zielt darauf ab, zu bestätigen, dass die beiden Aussagen wahr oder falsch sind, ohne die genauen Details zu kennen. So kann der Verifizierer darlegen, dass der Beweisführer über 18 Jahre alt und Schweizer Staatsbürger ist, ohne die spezifischen Daten zu diesen Behauptungen zu erfahren.
Die Blockchain im Visier
Ein zentrales Problem in der Überprüfung digitaler Identitäten ist das erforderliche Vertrauen in eine zentrale Instanz. Die Blockchain-Technologie bietet insofern einen vielversprechenden Lösungsansatz, als dass sie eine dezentralisierte Plattform bereitstellt. Auf dieser Plattform kann die Zero-Knowledge-Technologie effektiv eingesetzt werden, um sie gleichwohl für jedermann zugänglich zu machen. Ein wichtiger Bestandteil der Zero-Technologie-Familie auf der Blockchain ist die Multiparty Computation (MPC), die dazu dient, Daten sicher zu halten und den Nutzern die Kontrolle über ihre eigenen Daten zu geben. Dies wird erreicht, indem die Daten verschlüsselt in Datenpools bleiben, während sie für Zero-Knowledge-Berechnungen extrahiert werden.
Ein gutes Beispiel für die Anwendung von MPC ist das ‘Millionärsproblem’: In diesem Szenario möchte eine Gruppe von Personen herausfinden, wer von ihnen das meiste Geld hat, ohne die genauen Beträge offenzulegen. Sie übermitteln die Informationen zu ihren Bankkonten in einen privaten, verschlüsselten Datenpool. Mit MPC kann der reichste Teilnehmer ermittelt werden, ohne dass der genaue Betrag auf seinem Konto oder die Beträge der anderen Teilnehmer bekannt werden. Die Berechnungen erfolgen direkt auf den verschlüsselten Daten mithilfe von MPC, eine Ergebnisermittlung ist möglich, ohne die zugrundeliegenden Informationen preiszugeben. Nur eines der vielfältigen Szenarien, in denen MPC die Lösung ermöglicht. Es kann darüber hinaus für Berechnungen auf alles angewendet werden, was dezentral verschlüsselt ist, sodass die Rechenknoten nichts über die Eingabe – in diesem Fall den Bankkontoauszug – erfahren. Mit MPC bleiben die Daten über den gesamten Prozess hinweg verschlüsselt: im Ruhezustand, während der Übertragung und bei der Nutzung.
Blockchain und Zero-Knowledge ermöglichen die Schweizer eID
Mit Blick auf die oben genannten Herausforderungen und technologischen Lösungen arbeiten die Partisia Blockchain Foundation, die Hochschule für Technik und Architektur Westschweiz (HES-SO Valais-Wallis) und der Cybersecurity-Anbieter DuoKey derzeit an einem Minimum Viable Product (MVP) für eine Schweizer eID. Ein Produkt, das auf einem dezentralen eID-System mit selbstverwalteter Identität (SSID) basiert.
Um zu verstehen, wie ein solches System funktioniert, kehren wir zu unserem obigen Beispiel einer Person zurück, die nachweisen will, dass ein Schweizer Bürger volljährig ist. Die Zero-Knowledge-Berechnungen würden hier auf der selektiven Offenlegung von überprüfbaren Ausweisen basieren. Bei Letzteren handelt es sich um digitale Versionen von Identitätsdokumenten wie Pässen, Führerscheinen und anderen Ausweisen, die jedoch kryptografisch gesichert sind.
Überprüfbare Ausweise haben in der Regel mehrere Felder wie Größe, Gewicht und Geburtsdatum. Selektive Offenlegung würde in unserem Beispiel bedeuten, dass die Berechnung der Zero-Knowledge-Überprüfung nur anhand der relevanten Daten, wie z. B. des Geburtsdatums, erfolgen würde, ohne dabei das tatsächliche Datum offenzulegen. Überprüfbare Berechtigungsnachweise sind ein wesentlicher Bestandteil von SSID. Das im MVP verwendete SSID-eID-System nutzt überprüfbare Berechtigungsnachweise zusammen mit intelligenten Verträgen auf der Blockchain, die z. B. für die Zuweisung von Knoten bei der wissensfreien MPC-Berechnung verwendet werden können.
In der Praxis würde eine solche Lösung die Effizienz von Behörden erhöhen und die Digitalisierung im öffentlichen Sektor maßgeblich vorantreiben. Die Lösung kann außerdem für eine breite Palette von Anwendungsfällen genutzt werden, was für das Funktionieren der Regierung und ihre Fähigkeit, Dienstleistungen für die Bevölkerung zu erbringen, von entscheidender Bedeutung ist. Im Bereich der Planung könnten die Behörden beispielsweise statistische Daten analysieren, ohne die persönlichen Daten ihrer Bürger preiszugeben.
Über eID hinaus
Die Vielseitigkeit von Zero-Knowledge und Blockchain, macht diese Technologien bemerkenswert und innovativ. Sie könnten essenzielle und sensible Prozesse wie Wahlen, Risikominderung im Finanzwesen, Gesundheitsvorsorge und humanitäre Hilfe grundlegend verändern.
Außerdem könnte sich die Technologie, für jede Art von Transaktion als vorteilhaft erweisen. In einer online geprägten Welt, die von Web2 zu Web3 voranschreitet, werden derartige Technologien erfolgsentscheidend. Ein Paradigmenwechsel, bei dem grundlegende Marktprinzipien wie Eigentum, Wertschöpfung und Gewinnung demokratisiert werden.
In einer Zukunft, in der Werte, Transaktionen und Sicherheit im Vordergrund stehen, wird die Einführung von Zero-Knowledge-Technologien entscheidend sein. Sie gewährleisten effektiv den Schutz der Privatsphäre, die Kontrolle über Daten und die Sicherheit.
Was bedeutet Zero-Knowledge?
Zero-Knowledge (auf Deutsch “null Wissen”) ist ein Begriff aus der Kryptographie und beschreibt eine Situation, in der eine Person A einer anderen Person B etwas beweisen kann, ohne dabei vertrauliche Informationen preiszugeben. Das bedeutet, dass A B davon überzeugen kann, dass sie eine bestimmte Information oder Fähigkeit besitzt, ohne diese Information tatsächlich preiszugeben.
Ein klassisches Beispiel ist das “Null-Wissen-Beweisproblem”: A möchte B beweisen, dass sie ein bestimmtes Passwort kennt, ohne das Passwort selbst zu verraten. Durch geschickte kryptographische Protokolle kann A B davon überzeugen, dass sie das Passwort kennt, ohne B tatsächlich mitteilen zu müssen, wie das Passwort lautet.
Zero-Knowledge-Protokolle haben wichtige Anwendungen in der Informationssicherheit, insbesondere bei Authentifizierung und Datenschutz, da sie es ermöglichen, Informationen zu teilen, ohne das Risiko von Datenlecks oder Offenlegung von geheimen Schlüsseln zu erhöhen. Es ermöglicht eine Authentifizierung, ohne dabei sensible Daten oder Details preiszugeben. Personen können beispielsweise Alter oder Einkommen bestätigen, ohne die genauen Werte offenzulegen. Zero-Knowledge-Technologien sind in der Lage, vielfältige Berechnungen durchzuführen, was sie auch für Anwendungen außerhalb digitale Identitäten interessant macht.
Was sind digitale Identitäten?
Digitale Identitäten beziehen sich auf die elektronische Repräsentation einer Person, einer Organisation oder eines Geräts in der digitalen Welt. Diese Identitäten werden verwendet, um Benutzer oder Entitäten in digitalen Systemen zu identifizieren und zu authentifizieren. Digitale Identitäten können aus verschiedenen Informationen und Merkmalen bestehen, darunter:
Benutzername und Kennwort: Dies ist die einfachste Form der digitalen Identität, bei der Benutzer sich mit einem eindeutigen Benutzernamen und einem geheimen Passwort anmelden, um auf bestimmte Dienste oder Systeme zuzugreifen.
Digitale Zertifikate: Digitale Zertifikate sind elektronische Dokumente, die von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt werden und die Identität einer Person oder Organisation überprüfen. Sie werden häufig in sicheren Kommunikationsprotokollen wie HTTPS verwendet.
Biometrische Merkmale: Digitale Identitäten können auch auf biometrischen Merkmalen basieren, wie Fingerabdrücken, Iris-Scans oder Gesichtserkennung, um eine eindeutige Identifikation sicherzustellen.
Soziale Medien Profile: Die Profile auf sozialen Medien Plattformen repräsentieren ebenfalls digitale Identitäten, die oft persönliche Informationen, Interessen und Aktivitäten einer Person darstellen.
Identitätsnachweis-Dokumente: In einigen Fällen können digitale Identitäten auf offiziellen Ausweisdokumenten wie Reisepässen oder Führerscheinen basieren, die in digitaler Form vorliegen.
Digitale Identitäten sind entscheidend für den sicheren Zugriff auf Online-Dienste, die Überprüfung der Identität von Benutzern, den Schutz der Privatsphäre und die Unterstützung von digitalen Transaktionen. Die Verwaltung und Sicherung digitaler Identitäten ist ein wichtiger Aspekt der Informationssicherheit und des Datenschutzes.
Wann kommt die digitale ID?
Die Einführung einer digitalen Identität, auch als digitale ID oder E-ID bezeichnet, hängt von verschiedenen Faktoren ab, darunter die politischen, rechtlichen, technischen und gesellschaftlichen Entwicklungen in einem bestimmten Land oder einer bestimmten Region. Die Verfügbarkeit und Umsetzung von digitalen Identitätslösungen kann von Land zu Land unterschiedlich sein und wird von den jeweiligen Regierungen, Institutionen und Unternehmen vorangetrieben.
Einige Länder und Regionen haben bereits Fortschritte bei der Einführung digitaler Identitäten gemacht, während andere noch in der Planungs- oder Entwicklungsphase sind. Die Einführung von digitalen Identitätslösungen kann verschiedene Ziele haben, wie z.B. die Verbesserung der Sicherheit, die Vereinfachung von Online-Transaktionen und die Förderung der digitalen Wirtschaft.
Es ist wichtig zu beachten, dass die Einführung digitaler Identitäten auch mit Datenschutz- und Sicherheitsfragen verbunden ist. Daher müssen solche Initiativen sorgfältig geplant und implementiert werden, um die Privatsphäre der Bürger zu schützen und sicherzustellen, dass die Identitätsdaten angemessen geschützt sind.
Die Einführung von digitalen Identitäten kann auch von technologischen Entwicklungen wie der Blockchain-Technologie, biometrischen Verifikationsmethoden und fortschrittlichen Sicherheitsprotokollen beeinflusst werden.
Da die Einführung digitaler Identitäten von vielen verschiedenen Faktoren abhängt, ist es schwer vorherzusagen, wann sie in einem bestimmten Land oder einer bestimmten Region flächendeckend verfügbar sein wird. Es ist jedoch eine wachsende Tendenz in der digitalen Welt, und es ist wahrscheinlich, dass digitale Identitätslösungen in den kommenden Jahren eine größere Rolle spielen werden.