Decentralized Identifiers (DIDs) - Prof. Dr. Norbert
Pohlmann
Decentralized Identifiers (DIDs)
Inhaltsverzeichnis
Was sind Decentralized Identifiers (DIDs)?
Decentralized Identifiers (DIDs) sind eine moderne Art von Identifier, die eine globale sowie einzigartige, überprüfbare, dezentralisierte digitale Identität ermöglichen. Ein DID identifiziert eine beliebige Entität wie zum Beispiel eine Person, eine Organisation, ein Ding, ein Datenmodell oder eine abstrakte Entität.
Eine dezentrales Identitätsparadigma
Eine DID ist eine selbstbestimmte Identität. Die Erstellung und Verwaltung einer DID ist nicht von einer zentralen Autorität abhängig, sondern dezentral organisiert. Die Besitzer können eine Vielzahl von DIDs erzeugen und selbst verwalten. DIDs sind dabei unter der vollen Kontrolle des Besitzers. Das Konzept dieser dezentralen Identitäten wurde durch das W3C (World Wide Web Consortium) in der Arbeitsgruppe Credentials Community Group definiert. DIDs stellen zum Beispiel global eindeutige Adressen für Self-Sovereign Identity (SSI) zur Verfügung. Die DID wird als Grundlage zur Authentifikation und dem Austausch von digitalen Nachweisen wie Verifiable Credential (VC) verwendet.
DIDs sind nach dem Schema im RFC 3986 definiert und sind einzigartige URIs (Uniform Resource Identifier).
Ein DID wird in folgender Form dargestellt:
Die DID ist in drei Teile aufgeteilt. Das Schema bezeichnet die DID-Ressource. Die DID-Methode referenziert die spezielle SSI-Blockchain, sodass in einem SSI-Ökosystem mehrere SSI-Blockchains parallel existieren und miteinander interagieren können. Der methodenspezifische Identifikator identifiziert den Aussteller oder weitere Ressourcen in der speziellen SSI-Blockchain.
Die DID identifiziert und lokalisiert, wie bei einer DNS-Domäne eine konkrete Ressource, das DID-Dokument. Dazu gibt es einen DID Resolver, der zu einer DID das Ziel auflöst und das DID-Dokument zurückgibt. Das DID-Dokument ist ein JSON-Objekt, in dem der öffentliche Schlüssel, Eigenschaften und Metainformationen des Besitzers eingebunden sind. Dazu hat der Besitzer sich ein Schlüsselpaar eines Public-Key-Verfahrens (Asymmetrische Verschlüsselung) erstellt. Der private Schlüssel wird beim Besitzer sichere gespeichert, idealerweise in einem Hardware-Sicherheitsmodul. Der öffentliche Schlüssel steht in DID-Dokument.
Der Besitz einer DID kann vom Besitzer bei Self-Sovereign Identity (SSI) kryptografisch durch die Nutzung eines privaten Schlüssels nachgewiesen, zum Beispiel mit Challenge-Response-Verfahren. Die DID selbst ist mit dem dazugehörigen öffentlichen Schlüssel verbunden, da sie im DID-Dokument enthalten ist.
Wer als Ausstellen mit seiner DID in eine SSI-Blockchain registriert wird, regelt Compliance des Konsortiums der jeweiligen SSI-Blockchain.
In einer SSI-Blockchain kann ein DID-Dokument erstellt, gelesen, upgedatet und gelöscht werden. Die Update-Funktion ist wichtig, um zum Beispiel einen neuen öffentlichen Schlüssel einzutragen, wenn dieser wegen des Verfahrens oder der Schlüssellänge nicht mehr sicher genug ist oder kompromittiert wurde.
Ziele und Prinzipien von DIDs
Die Ziele und Prinzipien von DIDs werden in der W3C-Spezifikation anhand der in folgenden Tabelle dargestellten Definition festgelegt:
Decentralization Die DID-Architektur muss ohne zentrale Instanzen und Single Points of Failure funktionieren.
Self‑Sovereignty Die DID-Architektur soll Menschen und Geräten die Möglichkeit geben ihre digitale Identität selbst und unabhängig von Dritten zu kontrollieren.
Privacy Die DID-Architektur soll Identitäten die Möglichkeit zur Kontrolle der eigenen Daten und damit gleichbedeutend den Schutz ihrer Daten ermöglichen.
Security Die DID-Architektur muss die notwendige IT-Sicherheit für die beteiligten Personen und Geräte ermöglichen.
Proof-based Die DID-Architektur sollte einem Gerät oder einer Person die Möglichkeit zur Bereitstellung einer kryptographischen Prüfung für Authentifizierung sowie Autorisierung geben.
Discoverability Die DID-Architektur soll eine Erkundung von DIDs anderer Entitäten ermöglichen und dabei Informationen zu möglichen Interaktionsformen mit anderen Entitäten enthalten.
Interoperability Die DID-Architektur sollte verbreitete technische Standards verwenden, um die Verwendung von existierenden Werkzeugen und Programmbibliotheken zu ermöglichen.
Portability Die DID-Architektur sollte System- und Netzwerkunabhängig konzipiert sein und die Verwendung von DIDs und DID-Methoden auf möglichst allen Endgeräten ermöglichen.
Simplicity Die DID-Architektur sollte so einfach wie möglich konzipiert sein.
Extensibility Die DID-Architektur sollte für die Zukunft erweiterbar sein bei gleichzeitiger Beachtung der Eigenschaften Interoperabilität, Portabilität und Einfachheit.
Weitere Informationen zum Begriff “Decentralized Identifiers (DIDs)”
Decentralized Identifiers (DIDs) sind Identifier, die eine globale sowie einzigartige, überprüfbare, dezentralisierte digitale Identität ermöglichen. Ein DID identifiziert eine beliebige Entität wie zum Beispiel eine Person, eine Organisation, ein Ding oder ein Datenmodell.
Author
Prof. Norbert Pohlmann
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Decentralized Identifiers (DIDs) Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten