KNOW HOW-SERIE29. April 2018

Wie funktioniert digitale Identität – Teil 6: Welche Lösungen liefert die Blockchain?

digitalista/bigstock.com

Die Blockchain hat ihren Ursprung in der Internetwährung Bitcoin, bei der Geldwerte ohne zentrale Bank-Instanz überwiesen werden können. Sie ist eine neuartige Technik zum Speichern von Daten und erlaubt das sichere Management von Informationen jeglicher Art. Ihre elementaren Grundeinheiten sind Transaktionen.

von Rudolf Linsenbarth

Die Blockchain-Technologie gilt als manipulationssicher, da die Blöcke über eine Hash-Funktion miteinander verkettet werden.

Möchte man den Inhalt eines Blocks manipulieren, müsste man auch alle darauffolgenden Blöcke bearbeiten und das fortlaufend. Dies wäre mit derart hohen Kosten verbunden, dass diese Art von „Betrug“ komplett unwirtschaftlich ist.”

Da es sich bei der Blockchain im Kern um die virtuelle Generierung von Zertifikaten handelt, kommt ihr Einsatz auch in allen Fällen in Betracht, bei denen sich die Akteure eine verbürgte Sicherheit für die angezeigten Informationen wünschen. Nachfolgend mache ich einige Vorschläge, wie die Blockchain auch im Themenkomplex digitale Identität eingesetzt werden kann.

Autor Rudolf Linsenbarth
Rudolf Linsenbarth beschäftigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Linsenbarth ist profilierter Blogger der Finanzszene und kommentiert bei Twitter unter @holimuk die aktuellen Entwicklungen. Alle Beiträge schreibt Rudolf Linsenbarth im eigenen Namen.
Wer sich übrigens etwas mehr zum Thema anlesen möchte findet einen guten Überblick auf der Seite der BAFIN hier.

Mail-Zustellung – Zeitstempeldienst, E-Mail Einschreiben und Rückschein

Der einfachste Einsatz der Blockchain im Zusammenhang mit digitaler Identität geht ungefähr so. Der Endkunde versendet eine Mail. Der E-Mail-Dienstleister bildet den Hash-Wert des „Mail-Body“, also dem eigentlichen Mail-Inhalt. Diesem Hash-Wert wird noch das aktuelle Datum und die Uhrzeit hinzugefügt. Anschließend signiert der Mail-Provider das Ergebnis und fügt den Datensatz der Blockchain hinzu. Danach wird ein Link zu dem entsprechenden Block erstellt und an die Mail gehängt. Der Mail-Empfänger kann mit Hilfe des Links verifizieren, dass dieser Inhalt zu dem angegebenen Zeitpunkt tatsächlich versandt worden ist.

…et voilà fertig ist die erste Blockchain Anwendung.

Eine Antwort auf die Frage, durch wen und nach welchem Prozess die Blöcke der Chain erzeugt werden, kommt am Ende des Artikels.

In einem weiteren Schritt könnte der empfangende Mail-Provider den Vorgang ebenfalls in die Blockchain eintragen. Das wäre dann ein Einschreiben. Der zugehörige Rückschein würde erstellt, sobald der Empfänger auf die Lesebestätigung klickt.

Verglichen mit De-Mail scheint mir das Verfahren sowohl in Bezug auf die Handhabbarkeit durch den Nutzer als auch die dafür notwendige Infrastruktur extrem einfach. Zugegeben, zum Zeitpunkt des Entwurfes von De-Mail gab es noch keine Blockchain. Aber das Chaos um das besondere elektronische Anwaltspostfach (beA) zeigt, dass die handelnden Akteure, die derzeit ausgewählte Technik nicht in den Griff bekommen. Hier ist ein Paradigmenwechsel unausweichlich.

Vertraulichkeit – Mail-Verschlüsselung

Bei De-Mail will man dem Kunden die Tatsache, dass eine Mail beim Transport zwischen zwei Providern verschlüsselt wird, als Geheimhaltung verkaufen. Es ist nur zu hoffen, dass solcher Etikettenschwindel bald ein Ende hat! Sicherheitstunnel zwischen zwei Mail-Servern müssen in Zukunft zum technischen Standard werden wie Webseiten, die man über HTTPS aufruft. Trotzdem bleibt natürlich der Bedarf an Vertraulichkeit auch im Mail-Verkehr. Die ist nur gewährleistet, wenn niemand zwischen Versender und Empfänger mitlesen kann.

Die Frage einer „echten“ Mail-Verschlüsselung ist nicht ganz so trivial. Zwar ist das Problem mit der Kryptographie der asymmetrischen Schlüsselpaare prinzipiell gelöst. Der Versender Bob bekommt vom Empfänger Alice deren Public Key. Eine damit verschlüsselte Nachricht kann nur Alice mit Ihrem Private Key entschlüsseln. Nur woher weiß Bob, dass der Public Key, den Alice über das unsichere Internet gesendet hat, ihr und nicht dem Betrüger Mallory gehört?

Blockchain
kotist / Bigstock

Eine Lösung dafür ist die bereits in Teil 2 dieser Serie beschriebene PKI (Public Key Infrastructure). Bei PGP (Pretty Good Privacy) dagegen wollte man keine Zentralinstanz und ist deshalb einen anderen Weg gegangen. Im sogenannten Web of Trust wird die Echtheit der Public Keys durch gegenseitige Bestätigungen (Signaturen), kombiniert mit dem individuell zugewiesenen Vertrauen in die Bestätigungen der anderen („Owner Trust“) abgesichert. Hört sich sehr mühselig an und das ist es auch. Trotz vielfältiger Initiativen ist PGP daher ein Nischenthema geblieben.

Mit etwas Technik in der Blockchain ließe sich folgender Algorithmus bauen. Alice erzeugt lokal auf ihrem PC oder Smartphone ein Public / Private Key Paar. Sie legt den Public Key in der Blockchain ab. Von dort wird eine damit verschlüsselte Nachricht, an ihre zum Public Key passende Mail-Adresse, geschickt. Kann sie diese Nachricht entschlüsseln und das Ergebnis zurück an die Blockchain senden, wird ihr Public Key signiert und der Blockchain hinzugefügt. Bob kann nun den Schlüssel von Alice aus der Blockchain abrufen und dort auch überprüfen.

Auffindbarkeit – Verzeichnisdienst Blockchain

Es ist wieder Goldgräberstimmung, diesmal geht es nicht um Mobile Payment, sondern um digitale Identität und die darauf aufbauenden Dienste. Dutzende von Unternehmen und Startups wollen das neue Zentrale Login für das Internet aufbauen. Den meisten ist sehr wohl bewusst, dass sie keine Chance haben, dies für das World Wide Web zu erreichen. Also konzentrieren sie sich auf das „deutsche Internet“. Es ist natürlich Wunschdenken zu glauben, dass man nur schnell sein muss, damit alle Service Provider das entsprechende „Klingelschild“ auf ihrer Website anbringen und womöglich noch an die oberste Stelle setzen. Mehr als drei dieser Anmeldeknöpfe wird wahrscheinlich kein Webshop zulassen, schon aus Gründen der Übersichtlichkeit. Wenn man dazu annimmt, dass Facebook und Google bereits gesetzt sind, wird es eng!

H. Linsenbarth

Gegen diese Übermacht kommt man nur gemeinsam an. Mit Hilfe von Allianzen werben die neuen Identity Broker auf dem zweiseitigen Markt sowohl bei den Endkunden als auch bei den Webshops und Internetdiensten. Auch das ist eine 1:1 Analogie zu Mobile Payment. Keiner dieser Akteure hat das Potenzial, im derzeitigen Wettlauf allein in eine aussichtsreiche Position zu gelangen. Ich werde alle mir bisher bekannten Anbieter im nächsten Artikel vorstellen.

Wenn sich alle Identity Broker und Identity Provider aber auf einen gemeinsamen Verzeichnisdienst einigen, gewinnt das Projekt eine ganz neue Dimension.”

Bei einem bereits vorliegenden Vorschlag, soll dazu das Domain Name System (DNS) verwendet werden. Solche zentral verwalteten Register sind aber nicht ausreichend skalierbar. Es gibt deshalb bereits Überlegungen, die eigentlichen Kernaufgaben des DNS in eine Blockchain zu überführen (heise Beitrag dazu). Da kann Identity auch direkt vorausgehen.

Die Idee ist recht simpel – jeder Identity Provider oder Identity Broker registriert seine Kunden bzw. deren Mail-Adresse in der Blockachain, verbunden mit den folgenden Informationen:

1. Verfügbare Identitätsinformationen
2. Angebotenes Vertrauenslevel
3. Delegationsadresse für die Authentifizierung
4. Kosten für eine Identifikation

Wenn ein Kunde dann auf der Seite eines Webdienstes seine Mail-Adresse eingibt, um sich zu authentifizieren oder zu identifizieren, wird mittels Blockchain der Identity Provider ermittelt, analog zum Account Chooser Protokoll von OpenID. Für alles Weitere folgt dann OAuth und OpenID Connect wie im vorigen Artikel bereits beschrieben.

Die „Blockbildung“

Sinisa Botas / Bigstock

Bleibt noch die Frage nach der Ausgestaltung des Blockchain-Algorithmus. Wer nun den Proof of Work Algorithmus (Sicherheit durch Rechenleistung) des Bitcoin vor Augen hat, wird jetzt schon mal den Taschenrechner hervorholen, um die möglichen Kosten abzuschätzen. Außerdem, wie sollen die Miner motiviert werden, ihre Rechenleistung dafür zur Verfügung zu stellen?

Für das Beispiel Zeitstempeldienst schlage ich deshalb vor, die Blöcke durch die Mail-Provider zu signieren. Wer welchen Block bearbeitet, entscheidet der Zufall, gewichtet mit der Anzahl an Transaktionen, die man bereits in der Blockchain eingetragen hat.”

Dieses Konzept nennt sich Proof of Stake und geht davon aus, dass das Interesse an einer reibungslosen Funktion der Blockchain proportional zur Anzahl der Einträge ist. Trotz der Tatsache, dass es sich hier nicht um eine völlige offene Blockchain handelt, ist das Aufschalten weiterer Teilnehmer einfach zu bewerkstelligen.

Für den Verzeichnisdienst gilt das gleiche. Hier müsste man nur die Mail Provider durch Identity Provider als handelnde Akteure austauschen.

Für die Mail-Verschlüsselungszertifikate gibt es zwei Szenarien. Zum einen kann der Identity Provider von ihm bestätigte Zertifikate in der Blockchain ablegen. Dann wäre die Vorgehensweise analog Zeitstempel- und Verzeichnisdienst. Zum anderen können die Nutzer die Zertifikate zu ihren selbst erstellten Schlüsseln auch selber verwalten, indem sie sich an eine bestehende Blockchain wie Ethereum anlehnen und ihre Informationen in die dort erzeugten Blöcke mit einschleusen.

Schlusspunkt

In den Artikeln 1 bis 6 dieser Reihe habe ich meine Gedanken zur digitalen Identität der letzten 15 Jahre zusammengefasst.

Ich hoffe, die Zeit und die Technik ist reif für Lösungen, die dem Thema endlich zu einem Durchbruch verhelfen und meine vorgestellten Ansätze, ein hilfreicher Beitrag zur Diskussion verschiedener Konzepte ist.”

In Teil 7 werde ich einmal Firmen auflisten, die mir aufgefallen sind und von denen ich glaube, dass sie irgendwie Teil einer Gesamtlösung sein können.Rudolf Linsenbarth

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert