slider

Verifiable Credentials (VC) - Prof. Dr. Norbert Pohlmann

Verifiable Credentials (VC)

Verifiable Credentials (VC) - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Was sind verifiable Credentials?


Verifiable Credentials (VC)
Verifiable Credentials oder verifizierbare digitale Nachweise ist eine Idee, die im Rahmen von Self-Sovereign Identity (SSI) entstanden ist. Verifizierbare digitale Nachweise können verschiedene Datenstrukturen haben und in sehr unterschiedlichen Anwendungsszenarien verwendet werden.
Verifizierbare Digitale Nachweise helfen Nachweise in digitaler Form für die Anwendungen, die sie für ihre Aufgabenstellungen benötigen, die Inhalte von digitalen Nachweisen und die berechtigten Aussteller auf Echtheit und Integrität zu verifizieren.

Das Verifiable Credential (VC) Data Model definiert ein standardisiertes Datenformat für einen kryptografisch signierten und verifizierbaren digitalen Nachweis und ist ebenfalls ein W3C-Standard.
Das Modell von „Verifiable Credentials“ soll die Punkte IT-Sicherheit, Vertrauen und Privatsphäre, die bei physischen Nachweisen Gültigkeit haben, durch Kryptographie auf den Cyber-Raum übertragen und durch zusätzliche Eigenschaften und Funktionen ergänzen.



Beispiel von verifizierbaren digitalen Nachweisen
Bescheinigungen der Identität (Personalausweis, Firmen- oder Dienstausweis …), Führerscheine (Auto, Motorrad, Flugzeuge, Kräne, Panzer …), Zeugnisse (Abitur, Bachelor, Master, Promotionsurkunden …), Bestätigungen (Teilnahmebestätigung, Buchungsbestätigung, Echtheitsbestätigung, Impfbestätigung, Krankheitsbestätigung …) Befähigung (Waffenschein, Approbation, Krankenpfleger, Physiotherapeut, Malermeister, Fußballtrainer …), Befugnisse (Amtsbefugnis, Aufenthaltsbefugnis …), Qualifikationen (Weiterbildungsnachweise, Personenzertifikate …), Mitgliedsausweise (Fitnessstudien, Vereine, ADAC …), Kundenkarten (Bonuskarten, Vielfliegerprogramme …) die einer Einzelperson oder auch einem Objekt von einem Dritten (Aussteller) – zum Beispiel vom Einwohnermeldeamt, Straßenverkehrsamt, Schulen- und Hochschule, Unternehmen, Berufsverbände, Behörden, Qualifizierungsorganisation oder TÜVs – ausgestellt wurden.

Diese VCs werden prinzipiell für Einzelpersonen, juristische Personen oder Geräte ausgestellt. Ein VC bietet in der Regel den gleichen Informationsgehalt wie ein vergleichbarer physischer Nachweis (Personalausweis, Führerschein).
Im Unterschied zu vielen physischen Nachweisen können VCs durch den jeweiligen Aussteller bei Bedarf durch ein Revocation Registry widerrufen werden. Bei einem Verlust oder Diebstahl eines VCs bzw. des Endgeräts, auf dem die VCs gespeichert werden, kann dadurch einem Missbrauch vorgebeugt werden. Zudem kann sowohl der Aussteller des VCs, als auch die Integrität automatisch kryptografisch verifiziert werden. Im Kern bestehen VCs aus Claims bzw. Behauptungen, die über ein bestimmtes Subjekt aufgestellt wurden, z. B., dass eine Person über einen Hochschulabschluss verfügt oder dass ein Gebäude eine bestimmte Höhe hat. Des Weiteren besteht ein VC aus Metainformationen, die z. B. den Typ, das Ablaufdatum oder den Aussteller des VCs angeben. Mit dem Ziel die Authentizität, Integrität und Herkunft eines VCs kryptografisch sicher und verifizierbar zu gestalten, werden zusätzlich digitale Signaturverfahren von den Ausstellern verwendet, um eine digitale Signatur bzw. einen kryptografischen Proof für ein VC zu erstellen. Je nach verwendetem Signaturverfahren werden das VC und seine Claims in ihrer Gänze signiert.  Ferner existieren ebenfalls Signaturverfahren, welche die vorhandenen Claims einzeln signieren, um Zero-Knowledge Proof (ZKP) zu ermöglichen. Der Proof belegt, dass ein verifizierbarer digitaler Nachweis und dessen Claims über ein Subjekt wirklich von einem bestimmten Aussteller erstellt und für einen bestimmten Nutzer ausgestellt wurden. Sowohl das Subjekt als auch der Aussteller eines verifizierbaren digitalen Nachweises können über ihre jeweiligen DIDs referenziert und verifiziert werden. Da im verifizierbaren digitalen Nachweis die DID des Ausstellers enthalten ist, kann darüber auch die entsprechende SSI-Blockchain mit dem öffentlichen Schlüssel identifiziert werden, der für die Verifikation benötigt wird.


Wichtig ist, dass diese Institutionen vertrauenswürdig sein müssen und nur digitale Nachweise ausstellen, zu denen sie berechtig sind.
Das Modell von „Verifiable Credentials“ soll die Punkte IT-Sicherheit, Vertrauen und Privatsphäre, die bei physischen Nachweisen Gültigkeit haben, durch Kryptographie auf den Cyber-Raum zu übertragen.
Anders als bei physischen Nachweisen, bei denen der Mensch beim Verifizierungsprozess eine signifikante Rolle spielt, können verifizierbare digitale Nachweise durch kryptografische Funktionen in digitalisierten Prozessen eindeutig verifiziert werden.
Verifizierbar bedeutet, dass die digitalen Nachweise einfach, digital, sicher und vertrauenswürdig überprüft werden können.

Digitale Signatur

Dies wird in der Regel so umgesetzt, dass vom digitalen Nachweis mithilfe einer One-Way-Hashfunktionen eine kryptografische Prüfsumme berechnet und diese dann vom Aussteller digital unterschrieben wird.
Jeder, der diesen digitalen Nachweis verifizieren möchte, kann feststellen, ob die Integrität und die Authentizität des digitalen Nachweises in Ordnung ist, aber auch ob der Aussteller echt ist.

Die öffentlichen Schlüssel, Sperrlisten und weitere Metainformationen sind bei Self-Sovereign Identity im entsprechenden im DID-Dokument des Austellers in einer SSI-Blockchain verstetigt und für die Verifizierer einfach abrufbar. Die SSI-Blockchain kann mithilfe der Decentralized Identifiers (DIDs) ermittelt werden. Dazu ist die DID des Ausstellers im verifizierbaren digitalen Nachweisen integriert.
Die Sperrlisten (Widerrufregister) ermöglichen es, digitale Nachweise bei Bedarf zu widerrufen.

Zero-Knowledge-Proof
Ein weiteres Feature wird mithilfe von Zero-Knowledge-Proof umgesetzt. Damit ist es möglich, sicher und vertrauenswürdig Attribute, zum Beispiel über 18 Jahre alt, aus den digitalen Nachweise zu beweisen, ohne diesen selbst präsentieren zu müssen. Dieses Verfahren hilft in vielen Fällen, Datenschutzaspekte einfach und wirkungsvoll umzusetzen.


Weitere Informationen zum Begriff “Verifiable Credentials (VC)”:


Vorlesungen: „Lehrbuches Cyber-Sicherheit“

Artikel:
Wertschöpfung der Digitalisierung sichern – Vier Cybersicherheitsstrategien für den erfolgreichen Wandel in der IT“

IT-Sicherheit im Lauf der Zeit

Das Manifest zur IT-Sicherheit – Erklärung von Zielen und Absichten zur Erreichung einer angemessenen Risikolage in der IT“

Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen

Wie wirtschaftlich sind IT-Sicherheitsmaßnahmen

Risikobasierte und adaptive Authentifizierung

Eine vertrauenswürdige Zusammenarbeit mit Hilfe der Blockchain-Technologie

Künstliche Intelligenz und Cybersicherheit – Unausgegoren aber notwendig“

Vertrauen – ein elementarer Aspekt der digitalen Zukunft

Eine Diskussion über Trusted Computing – Sicherheitsgewinn durch vertrauenswürdige IT-Systeme“

Ideales Internet-Frühwarnsystem

Bedrohungen und Herausforderungen des E-Mail-Dienstes – Die Sicherheitsrisiken des E-Mail-Dienstes im Internet“

Bücher:

Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher zum kostenlosen Download

  • Sicher im Internet: Tipps und Tricks für das digitale Leben
  • Der IT-Sicherheitsleitfaden
  • Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Zurück zur Übersicht
Verifiable Credentials (VC) - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann
Verifiable Credentials (VC) Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten